Mirthz 👀

GCC2020 Recap (ครบรอบ 5 ปี)

Mon, 17 Feb 2025 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

Greeting Everybody ✋✋✋

สวัสดีครับทุกๆท่าน ผม Mirthz ครับ ด้วยความที่ว่าผมได้เห็นน้องๆ ตัวแทนประเทศไทย ปีนี้ไปเข้าร่วม GCC 2025 ที่ไต้หวันมาหมาดๆ วันนี้ผมเลยจะมาแชร์ประสบการณ์ที่ได้เป็นตัวแทนไปร่วมเข้าร่วมแคมป์ GCC 2020 ที่ โตเกียว ประเทศญี่ปุ่น เมื่อ 5 ปีที่แล้ว ให้อ่านกันนะครับ เนื้อหาอาจจะไม่ค่อยได้มีเยอะมากนะครับ(เพราะดองมา 5 ปี 555+) เพราะว่าเวลามันผ่านมานานมากแล้ว เอาเป็นว่ามาเริ่มกันเลยครับ

การคัดเลือก

สำหรับปี 2020 นั้น ได้มีการคัดเลือกตัวแทนนักเรียนจากประเทศไทยไปเข้าร่วมแคมป์ GCC 2020 โดยจะคัดเลือกผ่านการแข่งขัน STDiO CTF 2020 ซึ่งจัดขึ้นที่ มหาลัยวิทยาลัยมหิดล ศาลายาครับ โดยการแข่งขันจะเป็น CTF รูปแบบ Jeopardy ระยะเวลา 8 ชั่วโมง จะคัดทั้งหมด 2 ทีม (ทีมละ 2 คน) ที่จะได้เป็นตัวแทนไปร่วมแคมป์ที่ประเทศญี่ปุ่นครับ

GCC 2020

สำหรับ GCC หรือว่า Global Cybersecurity Camp เป็นกิจกรรม Bootcamp ที่จะรวบรวมนักเรียนจากแต่ละประเทศที่มีความสามารถทางด้าน Cybersecurity มาอยู่ด้วยกันเป็นระยะเวลาเกือบๆ 1 สัปดาห์ โดยในแต่ละวันจะมี Trainer แต่ละท่านมาสอนใน Session ที่แตกต่างกันไป ซึ่งในปี 2020 ก็มีตัวแทนประเทศจากทั้งหมด 8 ประเทศ (ไทย,เกาหลีใต้,ญี่ปุ่น,ไต้หวัน,เวียดนาม,มาเลเซีย,สิงค์โปร และ ออสเตรเลีย) และจะผลัดกันเปลี่ยนประเทศเจ้าภาพในทุกๆปี ซึ่งปี 2020 นี้เจ้าบ้านเป็นประเทศญี่ปุ่น จึงได้จัดแคมป์ที่ X wave Funabashi ใกล้ๆกับเมือง Tokyo ครับ
ตอนนั้นภาษาอังกฤษผมก็ไม่ค่อยจะดี ตอนไปก็พยายามสื่อสารแบบพอไปวัดไปวาได้ ซึ่งรุ่นหลังๆ ผมเห็นว่าน้องๆ ไม่มีปัญหาเรื่องการสื่อสารเลย ผมคิดว่าดีครับ ภาษานี่เรื่องสำคัญ

Thailand Team

Session

GCC2020 (2020.02.10~14)

วันแรกจะเป็น Orientation Session ให้นั่งแยกเป็นโต๊ะของตัวแทนแต่ละประเทศ และให้ขึ้นมาบทเวทีเพื่อแนะนำตัวให้รู้จักตัวแทนของแต่ละประเทศ โดยทุกๆประเทศก็จะมีสไลด์ขึ้นไปแนะนำตัวของแต่ละประเทศในแบบของตัวเองครับ

ตามด้วย Session "The Hunt for Attackers with Incident Response" และ "Industry Introductions and Ask about working in security industry" ว่าด้วยเรื่องการทำ Incident Response and Threat Hunt และบทบาทการทำงานในสายทางด้าน Cybersecurity ในแต่ละบทบาท ซึ่งในยุคนั้น ก็น่าจะเป็นเรื่องใหม่สำหรับผม

Making & Breaking Machine Learning Systems Class

CTF

วันที่สอง จะแบ่งเป็น 2 Session ให้เราเลือกว่าอยากจะเรียน Session ไหน ซึ่งผมเลือก "Making & Breaking Machine Learning Systems" ซึ่งก็เป็นเรื่องใหม่สำหรับผมอีก ต่อมาช่วงเย็นให้นักเรียนทุกประเทศคละทีมกันและนั่งประจำโต๊ะของแต่ละทีม (จำได้ว่าทีมผมมีเพื่อนๆจากประเทศ เวียดนาม,ญี่ปุ่น และ ออสเตรเลีย) CTF ทั้งหมดเป็นเรื่อง Digital Forensic ให้หาคำตอบจาก Incident ที่เกิดขึ้นบน VM เครื่อง Windows และนำมาตอบเป็น Format ที่เค้าต้องการ (เหมือนพวก BTLO ในปัจจุบัน)

วันที่สาม จะแบ่งเป็น 2 Session เช่นเคย รอบนี้ผมเลือก "Reversing IoT Firmware with Qilling Framework" สอนการใช้ Qilling Framework กับอุปกรณ์ IoT ตัวไหนผมจำไม่ได้ละ ซึ่งตอนนั้นผมงง เพราะไม่รู้เรื่อง 555+ แต่ก็พยายามศึกษาครับ

Attacker behavior analysis base on attack vector analysis Class

Social Media Security: Identifying Information Manipulation Online

วันที่สี่ วันนี้จะได้เรียนทั้ง Session "Attacker behavior analysis base on attack vector analysis" และ "Social Media Security:Identifying Information Manipulation Online" ซึ่งเป็น Path IR และ OSINT

Presentation with Team

วันสุดท้ายจะมี Group Work ให้ทำในแต่ละทีม (ที่คละประเทศไปตอนแรก) ถ้าจำไม่ผิดจะให้แต่ละทีม นำ Case ที่ทำใน CTF ของวันที่สองมานำเสนอ ซึ่งทีมผมก็ทำเป็น Report มานำเสนอ(ไฟล์ยังอยู่ในโน้ตบุ้คเครื่องเก่าที่ไทย🥹)

หลังจากนั้นก็จะเป็นการมอบเกียรติบัตร และ ปาร์ตี้สังสรรค์ก่อนบินกลับในวัดถัดไปครับ

Conclusion

ขอขอบคุณ STDiO , 2600TH และ Sponsor ที่สนับสนุนค่าใช้จ่ายต่างๆ
การเข้า Bootcamp GCC ในรอบนี้ทำให้ผมได้เปิดหูเปิดตาขึ้นมาเยอะเลยครับ CTF ก็สนุกมากๆ ได้เรียนรู้อะไรหลายๆอย่าง รู้จักเพื่อนๆ จากหลากหลายประเทศ บางคนก็ได้กลับมาเจอกันอีก ในแคมป์ GCC2024 ที่ประเทศไทย ประสบการณ์เหล่านี้เป็นสิ่งล้ำค่าที่หาได้ยากครับ สำหรับน้องๆ นักศึกษาที่สนใจ ขอให้พยายามกันนะครับ น้องๆ จะได้ประสบการณ์ที่ดีๆ กลับไปแน่นอน

ความในใจ

GCC alumni ที่มาเป็น Staff GCC 2024 (ขาด หยก กับ น้องวิว)

สำหรับตัวผมหลังจากที่กลับไทยแล้ว ก็วุ่นวายเรื่อง COVID-19 ณ ใน ช่วงเวลานั้น และก็กำลังจะเรียนจบพอดี เลยไม่ได้มีเวลานั่งทำ blog แบบนี้ หลังจากนั้นผมก็ติดลูปวนอยู่กับการทำงานที่ไม่ค่อยเหมาะกับผมเท่าไหร่ แต่มันเลือกไม่ได้(ไม่บอกว่างานอะไร อิอิ) จนทำให้ตัวผมเองหมดไฟที่จะเรียนรู้ไปแล้ว จนกระทั่งปี 2024 ได้มีการจัดแคมป์ GCC2024 ซึ่งมีตัวแทนประเทศไทย 2600TH เป็นเจ้าภาพในการจัดงาน ผมก็เลยอาสามาช่วยเป็น staff ด้วย ทำให้ผมได้สัมผัสกับบรรยากาศที่ไม่ได้สัมผัสมานานอีกครั้ง จนตอนนี้ได้มีไฟกลับมาเรียนรู้ต่อแล้วครับ

สุดท้ายนี้ ขอขอบคุณ อาจาร์ตั้ม หยก น้องวิว น้องหนม และ น้องเรียว ที่ไปร่วมเข้าแคมป์ด้วยกัน และผมก็ดีใจที่เห็นทุกๆคน เติบโตในเส้นทางของตัวเองนะครับ ส่วนตัวผมเองก็ต้องเดินทางต่อในเส้นทางนี้ สู้ต่อไปครับ👊

ติดตามข่าวสารการคัดเลือกในปีต่อไป หรือ Cybersecurity Event ต่างๆ ได้ที่
- STDiO CTF https://web.facebook.com/STDiO-CTF-Competition-107647900663121 - 2600TH https://web.facebook.com/groups/149088948584475 - GCC Website https://gcc.ac/

รีวิวของ GCC รุ่นที่ผ่านๆ มา

2025 รอน้องๆ เขียนครับ

2024 https://ar3mus.pages.dev/posts/competition/17/

2023 https://medium.com/@sudlit/global-cybersecurity-camp-gcc-2023-at-singapore-3662d748c8ae

2022 Not Found

2021 https://p3j0y.medium.com/global-cybersecurity-camp-2021-81f9b92a9cf0 2021 https://swzhouu.medium.com/global-cybersecurity-camp-gcc-2021-review-cde1bad2c8ae

Cerulean - Blue Team Lab Online Writeup

Mon, 13 Jan 2025 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

❄️ Challenge Story ❄️

FrostGuard is sending threats towards Cerulean Inc, mainly Jane's PC—the Head of Production. What is this bot planning?

Scenario

You’re the lead security analyst at Cerulean Inc., a respected manufacturer of industrial control systems. Your SIEM alerts you to suspicious RDP connections to the Production Department—especially Jane’s PC (the head of the department). It was determined later on that the attacks were malicious. You are tasked to analyze the triage artifacts on her computer and investigate the RDP connections for possible exfiltration.

Reference Article: https://www.securityblue.team/blog/posts/investigating-insider-threats-rdp-activity-magnet-forensics

We have a lot of tools for use in this challenge.🥳

Evidence come with Triage from KAPE and Axiom Report.

Haha, I'm actually glad you gave me so many tools to use.

`Question#1`

When did Jane receive the malicious mail from an attacker pretending to be from IT Support? Check the web history to help us better timeline the series of events. (Format: YYYY-MM-DD HH:MM:SS UTC) (1 points)

I use hindsight.py for find information from webhistory.
use -i option path ..\..\Jane\AppData\Local\Google\Chrome\User Data\Default

After get result file from hindsight, I use Timeline Explorer for find the answer.
It have a lot of information, I need to scope. try to search in subject column with "IT Support".

After search I found that email from IT support

Answer time from first email.

`Question#2`

The threat actor immediately, after RDP’ing, tries to log into other storage-based resources. What is the one with the most traffic? (Format: Storage Name) (2 points)

Time to use "Magnet AXOIM Examiner" to find more information.
This question asks us to find storage-based resources, of which there are only a few. In this question, I found the information about accessing to cloud storage. Then I go to "Cloud Services URLs" and filter Site name "Google Drive". and see the result that most traffic shown.

`Question#3`

It looks like the threat actor’s motive is data exfiltration via RDP. What ITM ID corresponds with this technique? (Format: XXXXX.XXX) (2 points)

It seems like the only thing we know about now is that cloud storage was used to do something to Jane's machine.
LOL I just try to search about "google drive", and I found this.
Ref : https://insiderthreatmatrix.org/articles/AR4/sections/IF001/subsections/IF001.001

`Question#4`

Let’s step back for a bit. Jane’s account mistakenly has admin rights. What role did they assign to her? (Format: Job Role (Title)) (2 points)

This question want us to find Jane job role, look at "User Account Windows" and filter Username only Jane, and I found Jane job role description.

`Question#5`

It seems like she downloaded Slack before the RDP session. Our main point of communication is Teams, so this is strange. What is the installation date and time of this software? (Format: YYYY-MM-DD HH:MM:SS UTC) (2 points)

This question want us to find installation time of Slack, we can find information about installed program in the Axiom report. Check in "Installed Programs", we gonna found that on the first record. Don't forget to change time to UTC. (+12 hr. in this case)

`Question#6`

There is enough evidence of Slack being used on Jane’s machine. Can you provide the unofficial URL being utilized for communication? (Format: hxxps://url.tld) (3 points)

Comeback to find web history that relate with slack, I search subject with "slack" and I found only 1 URLs that look suspicious.

`Question#7`

Q7) Provide the initial time and Origin IP Address for the RDP connections to Jane’s workstation. (Format: MM/D/YYYY H:MM:SSS XX UTC, XXX[.]XXX[.]XXX[.]XXX) (4 points)

Then back to Axiom report again, find information about RDP connections, filter Jane in "Origin Service Name". And looking for first connection.

`Question#8`

Q8) Our Project Venus plans were leaked, triggering the defenses. What are the four documents in alphabetical order? (Hint: examine the Windows Defender Logs) (Tip: remove 'project venus' and 'cerulean' from the document names). (Format: Doc1, Doc2, Doc3, Doc4) (9 points)

This question need us to find trigger information in Windows Defender Logs, we need to find "MPlog" in Windows Defender folder.
Path : ../../ProgramData/Microsoft/Windows Defender/Support
Ref : https://www.crowdstrike.com/en-us/blog/how-to-use-microsoft-protection-logging-for-forensic-investigations/

try to search with "project"

Don't forget to remove 'project venus' and 'cerulean' and answer with alphabetical order.

End

Rundeer - Blue Team Lab Online Writeup

Mon, 13 Jan 2025 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

❄️ Challenge Story ❄️

A malicious document has taken down our systems... could this be FrostGuard?

Scenario

An attacker sneaks in through a malicious document and gains control over the system. They move quickly, causing trouble and eventually deploying malware to lock up important files. Your mission is to track down their actions, find the attacker, and recover the encrypted files to bring everything back to normal.

We have "Cutter" for use in this challenge. This tool can use for RE.🥳

Evidence come with sample malware and memory dump.

Don't forget to use python ver. 3.8 to use volatility.

Before start Q1, I'm prepare more information for investigate.

`Question#1`

Using volatility, find the file that led to Initial Access to the workstation. (Format: Filename.extension) (5 points)

Scenario tell us about malicious document, so I found "PendingInvoice.docm" that look suspicious. After investigation from cmdline, that Powershell is launched by activating a .docm file. This Questoin want only filename to answer, use that name to solve.

`Question#2`

Provide the name of the compromised user account. (Format: User) (3 points)

From Q1 we found that file in Reindeer user Desktop, that mean this user got compromised.

`Question#3`

A reverse shell activity took place, find the IP and associated port. (Format: IP, Port) (4 points)

After Decyrpted base64 command we found that try to connect "139[.]177[.]207[.]94" port 8080.

`Question#4`

Analyze the given malware file and provide the category to which it best belongs. (Format: Category) (3 points)

Import sample malware(Conhost.exe) to Cutter.

Decomplie function Main first.
We found 2 function that interesting (fnc_00402234 & fnc_00403abc).

Decomplie fnc_00402234 we found the API that call Computer name for do something.
After that XOR with 0x23.

Decomplie fnc_00403abc we found this function gonna change extension file after encrypted.

Overall summary is that this program will use fnc_00402234 for call Computer name,then XOR with 0x23 and use that to be key. And use that key XOR with all files in target folder, change extension to .FROSTED file.

The program's procedure is to encrypt files and make them unreadable, which is what "Ransomware" is all about.

`Question#5`

A component of the Windows workstation is being used for key creation in malware. Which API call is responsible for fetching it? (Format: API) (5 points)

From Q4 we found this program use an API that call Computer name. Use name of that API for answer this question.

`Question#6`

What extension is the malware adding to the files it is affecting? (Format: EXTENSION (without dot)) (8 points)

From Q4 we know that gonna changed to .FROSTED after encrypted file.

`Question#7`

There was a key text file affected by malware. Find and dump it. Provide its MD5 hash. (Format: MD5 hash) (8 points)

Try to find .FROSTED file from volatility filescan.
I found README.txt.FROSTED in S3cr3t folder that look interesting.

Use offset of README.txt.FROSTED for recovery file from memory dump file.
Option : windows.dumpfiles --virtaddr 0x.........
Answer this question by MD5 hash

`Question#8`

You are tasked to decrypt the file. Analyze the malware and get the decryption key. (Format: decryption key (in lowercase, ASCII format)) (8 points)

From Q7 we remember that key encrypted by Computername.
Use option :
windows.registry.printkey --key "Control001\\Control\ComputerName"

Found ComputerName and ActiveComputerName, then print more key with ActiveComputerName. And I found this computer name is "FROSTBTYE"

XOR computer name with 0x23, and we will get the key. !!!

If you want to learn about this more, I recommend this Video.
Ref : https://youtu.be/1dbepxN2YD8?si=TIhOedf2ZzJRis6k&t=1553

`Question#9`

Decrypt the text file. Read the content. Who sent the information to the user, provide the name. (As per the content inside the text file) (Format: Name) (6 points)

Last step use the Key from Q8 XOR with README.txt.FROSTED. (Don't forget to import file in Cyberchef first)
Now, we got something look like message from someone to Reindeer.

End

Secplayground Bloody XMAS CTF Event 2024 (DF only)

Fri, 03 Jan 2025 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

Greeting Everybody ✋✋✋

สวัสดีครับทุกๆท่าน วันนี้ผมเป็นตัวแทนของทีมคนขี้คุกอย่าง อย่าซีเล็ง เดี๋ยวซู้ลิ่ง มาเขียน Writeup ของงาน Secplayground Bloody XMAS CTF Event 2024 มาให้เพื่อนๆได้รับชมกันครับ ส่วนตัวผมเล่น CTF ของ Secplayground ทุกปีครับ ปีนี้ก็ค่อนข้างสนุกเลย มีซาวน์ Santa เวลาได้ First Blood ด้วย แต่ผมรู้สึกว่า ให้เวลาทำนานไปหน่อยครับ ให้เวลาตั้ง 4 วัน😅

_รายชื่อคนขี้คุกในทีมครับ_ 🤣

Okay ครับ สำหรับ Writeup ที่เพื่อนๆ จะให้ดูต่อจากนี้ ผมนำเสนอแค่ในส่วนของ DF(Digital Forensic) นะครับ เนื่องจากได้พูดคุยกับทางเพจพันธมิตร Chicken_0248 แล้วว่าเค้าจะทำในส่วน IR ทั้งหมด

_DF มีจำนวนทั้งหมด 11 ข้อครับ_

Writeup

`Santa_Message`

ข้อ 1. Dr.Eye is the best developer in our Santa company. Normally, She works with the team by storing code on the internet and setting it to private, sharing it only with team members. Before She disappeared, She left behind an audio clip, which contains a secret, stored in the same place where She keeps the source code. Based on the data from Dr.Eye's device, we need help analyzing and identifying the website where the secret audio clip is stored, then decrypt it to extract the secret message from the clip. 30 pts.

_สำหรับข้อนี้จะได้เป็นชุด Live forensic ของ KAPE มาครับ_

จากโจทย์ระบุว่าให้พวกเราช่วยระบุเว็บไซต์ที่เก็บ secret audio clip ไว้ เลยนึกออกว่าต้องค้นใน History ของ Web browser ซึ่งในโจทย์นี้จะใช้เป็นตัว Google Chrome

_ผมใช้ Hindsight GUI ในการทำโจทย์ครับ_

ไฟล์ History จะอยู่ที่ Path > ...\C\Users\windows\AppData\Local\Google\Chrome\User Data\Default

_เจอสิ่งที่น่าสนใจ_

เพื่อให้ง่ายต่อการวิเคราะห์ ให้ Export เป็น xlsx ครับ เมื่อค้นไปสักพักจะพบว่ามีประวัติการเข้า repo github ที่น่าสนใจคือ https://github.com/eye9997/Santa_message เข้าไปดูต่อกันเลย

_มีไฟล์เสียงมาให้น่าจะเป็น secret audio clip ตามที่โจทย์ว่าไว้_

โหลดไฟล์เสียงมาเก็บไว้ก่อน จากนั้นเมื่ออ่าน README.md พบว่า ให้ข้อมูลบางอย่างมาคือ

Santa_message
LSB:1

Byte:1026868

Link: https://github.com/itxKAE/Video-Steganography

แสดงว่าทางโจทย์อยากให้เราใช้ Video-Steganography ในการถอดบางอย่างจากไฟล์ .wav

_python RunStartHere.py_

รัน RunStartHere.py แล้วใส่ LSB กับ Byte ที่ได้มาจาก repo Santa_message จากนั้นจะได้เป็นไฟล์ outputdecoded_audio.txt ออกมา

_flag มาแล้ววว_

{"Flag : forensic{santa_2024}"}

สำหรับ ข้อ 2-5 ```The Snowman’s Secret Message#1-4``` ตอนนี้รอน้อง `แนคบางขวางแดนสาม` ทำ Writeup มาให้เนื่องจากแบ่งงานกันทำครับ
ส่วนข้อ 6 ```The Snowman’s Secret Message#5``` ทำไงก็ทำไม่ได้ครับ No Clue 😂
เอาหล่ะ ไปข้อต่อไปกันเลย

`Malware Infection#1`

ข้อ 7. The browser history is an important part of identifying where the malware was downloaded. Please investigate the browser history to find the full URL from which the malware was downloaded (e.g., www.secplayground.com/malware.exe). 10 pts.

_โจทย์ให้ EnCase Image file (E01) มาขนาด 15 GB โยนเข้า Autopsy ทันที_

สำหรับข้อนี้โจทย์บอกว่า browser history เป็นส่วนสำคัญในการระบุตำแหน่งของมัลแวร์ โอเครู้แล้วว่าต้องไปค้นที่ตรงไหนก่อน

_รัน Autopsy เสร็จ เช็ค "Web History" เจอ repo github ที่น่าสงสัย_

ลองเข้าไปดู repo

_MinecraftCrack.exe ดูแล้วกลิ่นแปลกๆ_

โหลดไฟล์ MinecraftCrack.exe ออกมาแล้วโยนเข้า Virustotal ทันที

_โอเคคคค ชัดเลยยย [Virustotal](https://www.virustotal.com/gui/file/d95c97c31a22087b257107bacfdd21c8cc076463e13863c927d4dd76ed0d1b72)_

ปิด Autopsy ทันที เพราะว่าคงไม่ได้ใช้ต่อแล้วเท่าที่อ่านโจทย์ ข้อ 8-9 มา
ส่วนข้อนี้คำตอบจะใช้เป็น url ที่โหลดไฟล์มา

{"Flag : forensic{https://github.com/taipun/Minecraft/blob/main/MinecraftCrack.exe}"}

`Malware Infection#2`

ข้อ 8. A malicious file often communicates with an attacker-controlled server, known as a Command and Control (C2) server, to facilitate malicious activities. Please identify the IP address of the C2 server and the port used by the malicious file to communicate with it (e.g., 1.1.1.1:443). 30 pts.

_โยนเข้า Any.run ต่อเพื่อเช็ค process [Any.run](https://app.any.run/tasks/ad0ddca2-2c07-4b84-acb5-c621e6e06267)_

จากนั้นนั่งเช็ค Connection ที่เกิดขึ้นกับ Sandbox

เมื่อเช็คแล้วจะพบว่ามี Connect ไปยัง 20[.]188[.]121[.]243 port 9999

{"Flag : forensic{20.188.121.243:9999}"}

`Malware Infection#3`

ข้อ 9. From the malware file, find the key that the malware uses to encrypt files, by using the decryption function. 50 pts.

สำหรับข้อนี้ตอนแรกพยายามนั่งแงะไฟล์อยู่นานแต่งงครับ 55555+ เลยนึกวีธีง่ายๆ ออก ก็คือมัลแวร์ตัวนี้มันมี Original ไฟล์อยู่ครับ ถ้าดูจาก Virustotal ก็คือ SilverClient.exe

_Search ชื่อไฟล์กับอากู๋ ก็เจอ IOC ของ [Triage](https://tria.ge/240525-rat35afd95/static1)_

_ดูว่ามัลแวร์นี้ทำงานยังไง ได้ที่ส่วนนี้ [Behavior](https://tria.ge/240525-rat35afd95/behavioral1)_

_เมื่อเลื่อนลงมาเป็นตรงส่วน Malware Config ก็จะพบ decrypted_key_

สรุปก็คือโจทย์ข้อนี้ใช้ decrypted_key มาตอบครับ

{"Flag : forensic{-|S.S.S|-}"}

`malware infected`

ข้อ 10. We found information about a malware that affected Santa's work computer. Santa downloaded a file to work with, which caused the machine to get infected with the malware. We are tasked with identifying the type of malware from the network packet we intercepted, and then using this information to locate documents related to the same type of malware on the machine. The response should be in the form of the MD5 hash of the related document files. 10 pts.

สำหรับข้อนี้เป็นเฉลยของน้อง เก่งมิตินาว ครับ

_เริ่มในตอนแรกจะได้รับไฟล์ .ZIP ข้างในมีไฟล์ OVA กับ PCAPNG_

_VMware_

เราต้องมาวิเคราะห์กันก่อนว่า OVA ไฟล์คืออะไรซึ่งมันก็คือ Open Virtual Appliance ครับ:ไฟล์ OVA เป็นฟอแมตไฟล์ มาตรฐานสำหรับ Virtual Machine ถูกสร้างขึ้นมาเพื่อความง่ายในการใช้งาน Virtual Machine ระหว่างผู้ให้บริการแต่ละเจ้า เพื่อให้เป็นมาตรฐานเดียวกันนั่นเอง ดังนั้นเราจะนำเข้าไฟล์นี้สู้โปรแกรมที่ชื่อว่า VMware เพื่อวิเคราะห์กันครับ

_และเมื่อลองใช้งานเจ้า VM ตัวนี้แล้วก็จะรู้ว่ามันค่อนข้างช้าและมีปัญหาติดขัดค่อนข้างมาก_

_7-Zip_

จึงได้เปลี่ยนวิธีด้วยการ วิเคราะห์ สิ่งที่เป็น ผลผลิตจากไฟล์ OVA แทนนั่นก็คือไฟล์ VMDK (Virtual Machine Disk) ซึ่งเป็นรูปแบบไฟล์ที่ใช้สำหรับเก็บข้อมูลของดิสก์เสมือน (virtual disk) ที่ใช้ใน ซอฟต์แวร์จำลองเครื่องเสมือน (virtualization software) นั่นเอง โดยเราสามารถที่จะ Extract ova ออกมาให้เป็นไฟล์ VMDK ได้ด้วยโปรแกรม 7-Zip

_เราจะได้ไฟล์หลักๆมา 3 ไฟล์จากการ Extract OVA ด้วย 7-Zip_

_Autopsy_

แต่ในที่นี้เราจะ Focus ไปที่ ไฟล์ VMDK กันนะครับ โดยจะทำการวิเคราะห์ไฟล์นี้ด้วยการใช้เครื่องมือที่ชื่อว่า Autopsy เพื่อวิเคราะห์ไฟล์ที่มีลักษณะคล้ายกับ Hard disk (ซึ่งโปรแกรมนี้มันถนัดมาก) กันต่อ

_Recent Documents_

จะพบได้ว่ามี Artifact มากมายใน vmdk นี้แต่เนื่องจากโจทย์นั้นได้แนะมาว่าไฟล์เอกสารที่เราต้องต้องการค้นหานั้นถูกดาวน์โหลดมาดังนั้นเราจะมาวิเคราะห์กันที่การทำงานล่าสุดกัน

_Extract File_

ชัดเจนแล้วว่าไฟล์ที่น่าสงสัยนี้คือ “008653065299f1e96ecd195fe23948cc3976210bc8d58ba0e1456db17270154d” ให้ตาม path ของไฟล์ Extract ไฟล์นี้ออกมาต่อกันเลย

_โยนไฟล์เข้า [Virustotal](https://www.virustotal.com/gui/file/008653065299f1e96ecd195fe23948cc3976210bc8d58ba0e1456db17270154d)_

ให้เรานำไฟล์ที่น่าสงสัยนี้ไปตรวจสอบด้วย Virustotal จะได้ Hash ของไฟล์มาในรูปแบบ md5
And finally, the flag Become

{"Flag : forensic{e5d7a2dd2aafaa4e55c303c3533a36be}"}

สำหรับ ข้อ 11 The file was left behind ตอนนี้รอน้อง แนคบางขวางแดนสาม ทำ Writeup มาให้เนื่องจากแบ่งงานกันทำครับ

End

Writeup ของเพจพันธมิตร ไปตามอ่านได้ครับ

https://medium.com/@chaoskist/sec-playground-bloody-xmas2024-ctf-incident-rev-wowza-7d0da579770a

BTL1 Review (EN ver.)

Mon, 16 Dec 2024 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

Greetings, everyone! ✋✋✋

Hello, everyone! This is my very first time writing a review for a certification exam, and it also marks the official launch of my new blog. If there’s any incorrect information or mistakes in this post, I’d like to apologize in advance.

Alright, let’s get into the details of BTL1, or more specifically, Blue Team Level 1. This is a hands-on (purely practical) junior-level certification focusing on the Blue Team track offered by Security Blue Team.
Ref: https://www.securityblue.team/certifications/blue-team-level-1

BTL1 is a DFIR certificate at the Tier Intermediate level in Paul Jerimy’s Security Certification Roadmap

Important Note Before You Read Further

Security Blue Team requires all exam candidates to accept a Non-Disclosure Agreement (NDA), meaning exam content cannot be revealed. Therefore, I will not discuss specific exam details here. Instead, I’ll focus on the course content and tips for exam preparation only.

Ref: https://www.securityblue.team/btl1-exam-nda/

Pricing, Course Content, Preparation, and the Exam

Let’s start with the pricing, since it can be quite significant when converted to Thai Baht.
BTL1 (which includes the course and two exam attempts) is normally priced at 399.00 GBP, which is around 17,175.07 THB (based on the exchange rate on 12/16/2024).

However, if you register using a valid .edu email address, you’ll instantly get a 10% discount. (For Thai university students whose emails may not use “.edu” like international schools do, you’ll need to contact the Security Blue Team support to prove your student status first.)

Promotion Black Friday

Another way to get a discount is to wait for Black Friday promotions. These usually run from late November to early December each year, although the exact deals vary from year to year. In 2024, BTL1 got a 10% discount (the same as the student discount) and included 1 free month of BTLO PRO (Blue Team Labs Online) for extra practice.

You can check InfoSec Black Friday deals here: InfoSec-Black-Friday

Dashboard

For the course itself, you get 4 months of access to all materials, which include:

314 subtopics (across 6 main sections)
32 quizzes to test your knowledge after each subtopic
24 labs to practice various tools

The course timer doesn’t start until you click “Start,” so you can purchase it and begin whenever you’re ready.

BTL1 covers 6 main topics:

Security Fundamentals
Phishing Email Analysis
Threat Intelligence
Digital Forensic
Security Information and Event Monitoring
Incident Response

Additional sections introduce the course itself and how to prepare for the exam. The curriculum balances theoretical explanations with practical guidance on using different tools. Each section also has labs to help reinforce your understanding.

For practice labs, 5 out of the 6 main topics have corresponding labs. You get 100 hours to access these labs. You can use them as often as you want, and most learners only need about 10 hours in total to complete them. So, there’s no need to worry about running out of lab time. The system also auto-shuts down any running lab environment after 6 hours if you forget to shut it down yourself.

Exam Preparation

First and foremost, I recommend fully practicing with the labs in the course until you’re confident. Then, continue your practice on BTLO by searching for “BTL1” labs. Here are some categories to help you:

Phishing Analysis
- Virustotal
- URLHaus
- BTLO Lab: Deep Phish
Threat Intelligence
- MITRE ATT&CK
- Insider Threat Matrix
- ANY.RUN
- BTLO Labs: ATT&CK, Foxy
Digital Forensics
- Awesome Forensic
- BTLO Lab: Sukana
SIEM
- Splunk Documentation
- BTLO Labs: Splunk IT, Drilldown

Ref: https://berardinellidaniele.com/blog/btl1-certification

Make sure you understand and are comfortable with these tools. Don’t forget to take care of yourself before the exam: get enough sleep and clear your mind.

The Exam

You’ll be given a simulated scenario and must answer 20 questions about it. You have 24 hours to complete the exam. There’s no need to submit a formal report; once you’ve answered all 20 questions, you can simply submit.
You have 2 exam attempts within 1 year after starting the course. To pass, you need a score of at least 70% (i.e., 14 out of 20). If you pass, you’ll receive a certificate, sticker, and a silver challenge coin by mail.
If you manage to score over 90% on your first attempt, you’ll get a gold coin instead. You’ll also receive feedback on which questions you missed after you finish.

Certificate and Challenge Coin

Post-Exam Review

The new certificate design is nice and bright

Here are my personal thoughts:

The course content is quite good. It covers a lot of theory, giving you a deeper understanding of many concepts.
The exam itself wasn’t too difficult. I personally finished all 20 questions in about 4 hours (including writing my own report for reference). If you’re used to doing CTFs or labs, you should be fine—but practice is still key!

Pass!!

I ended up scoring 75%, and I’m not entirely sure where I went wrong (based on the feedback, I know which questions I missed, but I still feel like my original answers should have been correct). I’m currently awaiting a review, and once that’s done, I’ll be looking forward to receiving the coin. I’ll definitely share it in this blog later on.

Tips

Take notes in your own style, making them easy for you to understand.
You have 24 hours for the exam, so don’t rush—think things through carefully.
Practice writing reports for each step (this helps reinforce your understanding of the case and is good practical training).
Always review what you’ve done afterward (using your own report is a great way to recap).

Summary

BTL1 is perfect for those who want to work in a Blue Team role.
It suits both beginners and those with some experience.
Compared to other DFIR certifications, I believe BTL1 is an excellent introductory cert to have on your resume.

{/* > If you’re looking for more info, here are some Thai-language reviews from others who’ve taken the exam:

BTL1 Review (TH ver.)

Mon, 16 Dec 2024 00:00:00 GMT

import LinkCard from "../../components/page/LinkCard.astro";

Greeting Everybody ✋✋✋

สวัสดีครับทุกๆท่าน นี่เป็นครั้งแรกของการรีวิวการสอบ Certificate และเป็นการเปิดตัว Blog ใหม่ของผม หากมีข้อมูลส่วนใดผิดพลาดประการใด ขออภัยไว้ ณ ที่นี้ด้วยครับผม

เอาหล่ะ วันนี้ผมจะมาอธิบายรายละเอียดเนื้อหาและการเตรียมตัวสอบของ BTL1 หรือชื่อเต็มๆเลย ก็คือ Blue Team Level 1 ซึ่งเป็น Hand-On Certificate (ปฎิบัติล้วนๆ) สาย Blueteam ในระดับ Junior ของค่าย Securityblueteam ครับ
Ref : https://www.securityblue.team/certifications/blue-team-level-1

BTL1 เป็น Cert DFIR ที่จัดอยู่ใน Tier Intermediate ของ Pauljerimy

ขอแจ้งให้ทราบก่อนที่ทุกๆท่านจะอ่านในส่วนต่อไปนะครับ

เนื่องจากทางค่ายให้มีการให้ผู้เข้าสอบทุกท่านยอมรับในการไม่เปิดเผยข้อมูลเนื้อหาข้อสอบหรือที่เรียกกันว่า NDA เนื้อหาต่อไปนี้จะไม่มีการพูดถึงเนื้อหาเบื้องลึกของข้อสอบ แต่จะเป็นการพูดถึงรายละเอียดเนื้อหาของคอร์สและการเตรียมตัวสอบเท่านั้นนะครับ

Ref : https://www.securityblue.team/btl1-exam-nda/

ราคา เนื้อหาคอร์ส การเตรียมตัว และ การสอบ

ขอพูดถึงราคาก่อนนะครับ เพราะถือว่าเป็นจำนวนเงินที่ค่อนข้างเยอะเลย ถ้าคิดเป็นเงินไทยบาท BTL1 (รวมทั้งคอร์สและสอบได้ 2 ครั้ง) จะมีราคาปกติอยู่ที่ 399.00 GBP(ปอนด์) หรือ 17,175.07 ไทยบาท (อัตราแลกเปลี่ยน ณ 12/16/2024)

แต่หากสมัครสมาชิกด้วยอีเมลล์ของมหาลัยวิทยาลัย .edu จะลดราคา 10% ทันที (กรณีอีเมลล์นักศึกษาของมหาลัยที่ไทยซึ่งปกติไม่ใช้ .edu เหมือนมหาลัยที่ต่างประเทศ จะต้องแจ้ง Supporter ของ Securityblueteam ด้วยเพื่อ prove ว่าเป็นนักศึกษาจริงก่อน)

Promotion Black Friday

อีกกรณีในการลดราคาคือ เทศกาล BlackFriday ครับ ซึ่งจะมีการลดราคาในห้วงปลายเดือนพฤศจิกายนถึงต้นเดือนธันวาคมในทุกๆปี ซึ่งในแต่ละปีโปรโมชั่นก็จะแตกต่างกันไปครับ ซึ่งปีนี้(2024) มีโปรโมชั่น BTL1 ลด 10% (หากเป็นนักศึกษาอยู่แล้วก็ลด 10% เหมือนเดิม) และแถมเป็นสมาชิกของ BTLO PRO (Blue Team Labs Online) สำหรับฝึกเพิ่มฟรีอีก 1 เดือน

สามารถเช็คโปรโมชั่นลดราคาต่างๆได้ที่ BlackFriday ได้ที่ InfoSec-Black-Friday

Dashboard

สำหรับตัวคอร์สนั้นมีเวลาให้เราสามารถเข้าถึงเนื้อหาการเรียนได้ 4 เดือน โดยแบ่งเป็น

314 หัวข้อย่อย(จาก 6 หัวข้อใหญ่)
Quiz 32 ข้อ ไว้ทดสอบความรู้หลังจากเราเรียนหัวข้อย่อยจบ
24 Lab สำหรับฝึกซ้อมการใช้งาน Tools ต่างๆ

เวลาคอร์สจะยังไม่เริ่มนับถ้าเรายังไม่กด Start (หรือก็คือสามารถซื้อดองไว้ได้นั่นเอง)

BTL1 นั้นจะมีเนื้อหาหลักๆ ทั้งหมด 6 หัวข้อ ซึ่งได้แก่

Security Fundamentals
Phishing Email Analysis
Threat Intelligance
Digital Forensic
Security Information and Event Monitoring
Incident Response

หัวข้อที่เหลือจะเป็นการแนะนำคอร์สและการสอนการเรื่องการเตรียมตัวในการสอบ ซึ่งจากเนื้อหาทั้งหมดเหล่านี้จะเน้นสอนทั้งอธิบายเรื่องทฤษฎีและสอนทั้งการใช้เครื่องมือ(Tools) ในการหาข้อมูลที่เกิดขึ้น อีกทั้งยังมี Labs ให้เราได้ลองฝึกเพื่อความชำนาญอีกด้วย

Lab สำหรับการฝึกซ้อมในคอร์สนั้นจะมี Lab ของ 5 หัวข้อจาก 6 หัวข้อ โดยมีเวลาในการให้เราเข้าใช้งานได้ 100 ชั่วโมง สามารถเข้าใช้งานได้ไม่จำกัดจำนวนครั้งด้วย (เฉลี่ยแล้วผู้เรียนจะใช้กันประมาณ 10 ชั่วโมงในการใช้งานครบทุก lab ครับ เพราะฉะนั้นไม่ต้องกลัวเลยว่าเวลาใช้งานจะไม่พอ เหลือเฟือมากๆ) ในกรณีถ้าเราลืม Shutdown Lab ระบบจะทำการ Shutdown อัตโนมัติภายใน 6 ชั่วโมงครับ

การเตรียมตัวในการสอบ

อย่างแรกคือแนะนำให้ซ้อมกับ Lab ในคอร์สจนมั่นใจก่อนและไปซ้อมต่อกับ Lab ใน BTLO ซึ่งเราสามารถ search ว่า BTL1 ในการหา Lab เพื่อฝึกซ้อมได้ โดยแบ่งได้ดังนี้

Phishing Analysis
- Virustotal
- URLHaus
- BTLO Lab- Deep Phish
Threat Intelligence
- MITRE ATT&CK
- Insider Threat Matrix
- ANY.RUN
- BTLO Lab - ATT&CK, Foxy
Digital Forensics
- Awesome Forensic
- BTLO Lab - Sukana
SIEM
- Splunk
- BTLO Lab - Splunk IT, Drilldown

Ref : https://berardinellidaniele.com/blog/btl1-certification

ซึ่งเราก็จะต้องฝึกใช้งานให้เข้าใจและชำนาญก่อนแล้วค่อยกดสอบ ทั้งนี้อย่าลืมเตรียมร่างกายให้ดีก่อนสอบ นอนพักผ่อนให้เพียงพอ ทำสมองให้โล่งก่อนสอบ

การสอบ

การสอบเป็นการจำลองสถานการณ์นึงขึ้นมาให้เราหาคำตอบจากสถานการณ์นั้นไปตอบในคำถามจำนวน 20 ข้อ มีเวลาทำ 24 ชั่วโมง ไม่ต้องส่ง Report ทำครบ 20 ข้อ กด Submit ได้เลย
โดยการสอบนั้นสามารถสอบได้จำนวน 2 ครั้ง ซึ่งจะต้องสอบภายใน 1 ปี หลังจากที่กด start คอร์สเรียนแล้ว โดยเกณฑ์ผ่านจะอยู่ที่ 70% (จากทั้งหมด 20 ข้อ ผ่านคือต้องได้ 14 ข้อ) โดยหลังจากสอบผ่านแล้วจะมีใบ Certificate , สติ้กเกอร์ และ เหรียญเงิน(Challenge coin) ส่งไปให้ถึงบ้าน กรณีที่สามารถทำได้เกิน 90% ในการสอบครั้งแรก จะได้รับเป็นเหรียญทองแทน ซึ่งจะมี feedback หลังการสอบด้วยว่าเราพลาดตรงไหน

Certificate and Challenge coin

รีวิวหลังสอบ

ใบ Certificate Ver. ใหม่ สวยสว่างดี

สุดท้ายนี้เป็นความคิดเห็นส่วนตัวครับ สำหรับเนื้อหาของคอร์สถือว่าดีครับสอนเยอะดี theory เยอะดีอ่านจุใจ ทำให้เข้าใจอะไรๆ มากขึ้นเยอะกว่าแต่ก่อน
ในส่วนการสอบนี้ รู้สึกว่าไม่ยากมากเท่าไหร่ ส่วนตัวผมใช้เวลาประมาณ 4 ชั่วโมงในการทำข้อสอบทั้ง 20 ข้อ (รวมทั้งทำ Report ไว้อ่านเองด้วย) สำหรับคนที่เล่น CTF บ่อยๆ หรือเล่น Lab บ่อยๆ คิดว่าไม่มีปัญหา แต่ว่าก็ต้องหมั่นซ้อมด้วยนะ

Pass !!

ส่วนตัวผมทำคะแนนได้แค่ 75% ไม่รู้ว่าพลาดยังไง (ดูจาก feedback รู้ว่าพลาดข้อไหน แต่คิดว่าที่ตัวเองตอบไปไม่น่าผิด ตอนนี้อยู่ระหว่างการขอ Review ซ้ำ)

หลังจาก Review คะแนนใหม่เสร็จแล้ว ก็รอรับเหรียญต่อ แล้วจะถ่ายมาลงใน Blog นี้ทีหลังครับ

Tips

Take note สไตล์เรา ให้อ่านแล้วเข้าใจง่ายๆ
มีเวลาสอบ 24 ชั่วโมง ไม่ต้องรีบค่อยๆ ทำ ค่อยๆ คิด
ฝึกทำ Report ทุกขั้นตอนด้วย(เป็นการเพิ่มความเข้าใจในเคสนั้นๆและเป็นการฝึกไปในตัวด้วย)
หลังจากเสร็จแล้ว ทบทวนเสมอ (ทบทวนด้วย Report ที่เราทำไว้ได้)

สรุป

BTL1 เหมาะสำหรับคนที่อยากทำงานด้าน Blue Team ครับ
เหมาะสำหรับผู้ที่เริ่มต้นจนถึงผู้มีประสบการณ์อยู่แล้ว
ถ้าเทียบกับ DFIR Certificate ตัวอื่นๆ ผมคิดว่าตัวนี้ถือเป็นตัวเริ่มต้นที่ต้องมีติดตัวไว้ครับ

หากใครอยากหาข้อมูลเพิ่ม ผมหารีวิวของพี่ๆคนไทยที่เคยสอบมาไว้ให้แล้ว ไปตามอ่านได้ครับ
https://medium.com/@iCreaM/รีวิวคอร์สและการสอบ-btl1-certification-b6d616ac6e71
https://suksit.com/posts/btl1-certification-review/
https://so-sonajaa.medium.com/subject-review-exam-certificate-btl1-99af36ece7f6
https://medium.com/@TidtEe/course-and-exam-btl1-certification-review-1d60f6b64817