Day 15: Drone Alone - Advent of Cyber 2025

Este writeup pertenece al evento Advent of Cyber 2025 de TryHackMe. Si quieres seguir toda la serie, consulta nuestra colección completa del Advent of Cyber 2025.

Hoy nos ponemos el sombrero de Blue Team. El sistema de programación de drones de BFC está comportándose de forma extraña: peticiones HTTP largas con chunks en Base64 y alertas de Splunk indicando que Apache ha generado procesos inusuales.

Nuestra misión es triar el incidente, identificar los hosts comprometidos y determinar el alcance del ataque utilizando Splunk.

Room: Web Attack Forensics - Drone Alone
Dificultad: Medium
Objetivo: Utilizar Splunk para investigar logs de Apache y Sysmon, detectando inyecciones de comandos y cargas útiles ofuscadas.

🔍 Fase 1: Detectando Comandos Sospechosos en la Web

Lo primero que hacemos es buscar en los logs de acceso de Apache (windows_apache_access) cualquier petición que parezca intentar ejecutar comandos del sistema. Buscamos términos como cmd.exe, powershell o Invoke-Expression.

index=windows_apache_access (cmd.exe OR powershell OR "powershell.exe" OR "Invoke-Expression") | table _time host clientip uri_path uri_query status

Esta consulta nos revela intentos de Command Injection. Vemos peticiones extrañas dirigidas a scripts CGI (como hello.bat).

Entre los resultados, encontramos cadenas en Base64.

Al decodificar una de ellas (VABoAGkAcwAgAGkAcwAgAG4AbwB3ACAATQBpAG4AZQAhACAATQBVAEEASABBAEEASABBAEEA), obtenemos el mensaje: "This is now Mine! MUAHAHAAAAAA". Parece que el atacante se está divirtiendo.

🚫 Fase 2: Analizando Errores del Servidor

A continuación, revisamos los logs de error de Apache (windows_apache_error). Si el atacante intentó ejecutar algo y falló, o si el servidor no pudo procesar la petición maliciosa, debería aparecer aquí.

index=windows_apache_error ("cmd.exe" OR "powershell" OR "Internal Server Error")

Vemos un error 500 "Internal Server Error" asociado a una petición como /cgi-bin/hello.bat?cmd=powershell, es un indicador fuerte de que el input del atacante fue procesado pero causó un fallo en la ejecución.

Con esta información, podemos responder a la pregunta:

Pregunta: What executable did the attacker attempt to run through the command injection?

Respuesta: PowerShell.exe

🕵️ Fase 3: Rastreando la Creación de Procesos

Aquí es donde la cosa se pone seria. Usamos los logs de Sysmon para ver si el proceso del servidor web (httpd.exe) ha generado algún proceso hijo inusual. Apache no debería estar lanzando consolas de comandos.

index=windows_sysmon ParentImage="*httpd.exe"

Si encontramos que httpd.exe es el padre de cmd.exe o powershell.exe, tenemos una confirmación de que la inyección de comandos fue exitosa y el ataque penetró en el sistema operativo.

🆔 Fase 4: Confirmando la Enumeración

Los atacantes suelen ejecutar comandos de reconocimiento justo después de ganar acceso para saber "quiénes son" en el sistema. Buscamos ejecuciones de whoami.

index=windows_sysmon *cmd.exe* *whoami*

Encontrar esto confirma que el atacante no solo ejecutó código, sino que está realizando reconocimiento post-explotación.

Con esta información, podemos responder la siguiente pregunta:

Pregunta: What is the reconnaissance executable file name?

Respuesta: whoami.exe

📦 Fase 5: Identificando Payloads en Base64

Finalmente, buscamos ejecuciones de PowerShell que utilicen codificación Base64 para ocultar sus comandos (parámetros -EncodedCommand o similares).

index=windows_sysmon Image="*powershell.exe" (CommandLine="*enc*" OR CommandLine="*-EncodedCommand*" OR CommandLine="*Base64*")

Esto nos permite ver los comandos exactos que el atacante intentó ejecutar de manera ofuscada.

🏁 Conclusión

Gracias a Splunk y a la correlación entre los logs de aplicación (Apache) y los logs del sistema (Sysmon), hemos podido reconstruir la cadena del ataque: desde la inyección inicial en la web hasta la ejecución de comandos en el host.

También puedes consultar todos los días del Advent of Cyber directamente en la colección completa del Advent of Cyber 2025.

Mañana seguiremos con más retos. ¡Nos vemos en el Día 16!

~ Xhetic