Threat Intelligence
Dive into Splunk SIEM logs to investigate the security incident. These challenges test your ability to craft SPL queries, analyze log data, and identify indicators of compromise across authentication logs, network traffic, process execution records, and more.
Challenges in this Category
Challenge
Scenario: You've discovered the IP address 45.204.197.103 communicating with
Flexis AI's compromised server. Use VirusTotal to assess this IP's reputation and determine how
many security vendors flag it as malicious.
Flag Format: SOC{Numberofvendorflagitasmalicious}
- VirusTotal
Solution
Pada skenario kali ini kita diminta untuk menginvestigasi IP address 45.204.197.103 yang terdeteksi berkomunikasi dengan server Flexis AI yang telah di kompromi. Kita akan menggunakan VirusTotal untuk menginvestigasi IP address tersebut.
Figure 1: Community Score
Pada gambar tersebut kita dapat melihat bahwa IP address 45.204.197.103 terdeteksi sebagai malicious oleh 7/93 security vendors. Jadi dapat kita simpulkan flagnya adalah 7.
Challenge
Scenario: The Meterpreter C2 server is hosted at 107.21.146.177. Identify the
organization that owns this IP address block.
Flag Format: SOC{Organization}
Solution
Disini kita diminta untuk mencari tahu organisasi yang memiliki IP Address 107.21.146.177. Kita bisa menggunakan Whois untuk mencari tahu organisasi yang memiliki IP Address tersebut.
IP Whois
NetRange: 107.20.0.0 - 107.23.255.255
CIDR: 107.20.0.0/14
NetName: AMAZON-EC2-8
NetHandle: NET-107-20-0-0-1
Parent: NET107 (NET-107-0-0-0-0)
NetType: Direct Allocation
OriginAS:
Organization: Amazon.com, Inc. (AMAZO-4)
RegDate: 2011-05-03
Updated: 2014-09-03
Figure 2: Menampilkan detail IP Address
Dari hasil yang kita temukan dari whois organisasi yang memiliki IP Address 107.21.146.177 adalah Amazon.com, Inc.
Challenge
Scenario: did you solved the Reputation Check challenge?
What is the Malware Family Name associated with those IP?
Flag Format: SOC{MalwareName}
Solution
Scenario ini meminta kita untuk mencari tahu malware family name yang terkait dengan IP address yang ditemukan pada challenge sebelumnya yaitu 45.204.197.103. Kita bisa menggunakan VirusTotal untuk mencari tahu malware family name yang terkait dengan IP address tersebut.
Community Report by JaffaCakes118:
IOC found on ThreatFox
IOC: 45.204.197.103:8000
IOC Type: ip:port
Threat Type: botnet_cc
Malware: xmrig
Confidence Level: 100%
Country: Hong Kong
Reference: hxxps://search.censys.io/hosts/45.204.197.103
ThreatFox: https://threatfox.abuse.ch/ioc/1576437/
Figure 3: Menampilkan Community Report
Dari hasil community report tersebut kita menemukan bahwa malware family name yang terkait dengan IP address 45.204.197.103 adalah xmrig
Challenge
Scenario: Time to OSINT. did you solved the Reputation Check challenge?
Look at the source URL mentioned in community's comment. trace the user who has reported this
IP. What is his userid
Flag Format: SOC{userid}
Solution
Pada scenario ini kita diminta untuk mencari tahu userid dari user yang melaporkan IP
address
45.204.197.103 pada challenge sebelumnya. ada 2 user yang melaporkan IP
address
tersebut yaitu JaffaCakes118 dan threat_query dari report yang
mereka kirimkan terdapat reference berupa url yaitu
https://threatquery.com/engines/ip.html?value=45.204.197.103&type=ip
hxxps://search.censys.io/hosts/45.204.197.103
https://threatfox.abuse.ch/ioc/1576437/
dari dua link pertama saya belum bisa menemukan apa apa sampai pada akhirnya di url ketiga
yang membawa saya ke halaman
https://threatfox.abuse.ch/ioc/1576437/
Figure 4: Menampilkan IOC 1576437
Dari IOC tersebut saya menemukan user yang mereport yaitu DonPasci tapi ini bukan flagnya karena soal meminta userId bukan username, nah ternyata nama DonPasci ini kalau kita klik akan mengarahkan kita ke halaman profil dari user tersebut
Figure 5: Menampilkan IOC 1576437
Disini kita belum bisa menemukan userIdnya sampai pada akhirnya saya menemukan url dari halaman
tersebut mengandung userId yaitu
https://threatfox.abuse.ch/user/8899/ yang dimana userId dari DonPasci adalah
8899
Challenge
Scenario: did you solved the Reputation Check challenge?
What Country was the IP from?
Flag Format: SOC{Country_Name}
Solution
Kali ini kita diminta untuk mencari tahu negara asal dari IP address yang sama dengan IP
address yang di report pada Reputation Check challenge yaitu
45.204.197.103 karena sebelumnya kita sudah menemukan report dari JaffaCakes118
dan threat_query di virustotal atau kita bisa cek lagi menggunakan web ipinfo yaitu
https://ipinfo.io/45.204.197.103
Figure 6: Menampilkan negara asal dari IP address 45.204.197.103
Dari hasil temuan tersebut, saya menemukan negara asal dari IP address 45.204.197.103 yaitu Hong Kong
Challenge
Scenario: did you solved the Reputation Check challenge?
What AS Number was the IP associated with
Flag Format: SOC{ASNumber}
Solution
Scenario kali ini meminta AS Number dari IP address yang sama dengan IP address yang di report
pada Reputation Check challenge yaitu
45.204.197.103
karena sebelumnya saya sudah memperoleh informasi dari ipinfo yaitu
Summary
ASN AS62468 - VpsQuan L.L.C.
Hostname No Hostname
Range 45.204.197.0/24
Company HK UNITE TELECOMMUNICATIONS DEVELOPMENT LIMITED
Hosted domains 0
Privacy True
Anycast False
ASN type Hosting
Abuse contact abuse@cloudinnovation.orgDari sini kita sudah tahu bahwa AS Number dari IP address 45.204.197.103 adalah AS62468