Cyberdefenders蓝队-恶意软件流量分析5
2023-3-4 22:4:16 Author: 安全孺子牛(查看原文) 阅读量:32 收藏

1、题目简介

1.1 背景介绍

你在一家以感恩节为主题的公司的安全运营中心 (SOC) 担任分析师。一个安静的夜晚,你听到有人在SOC入口敲门。当你回答门时,一个筋疲力尽的邮件服务器技术人员跌跌撞撞地进来,迅速摔倒在地。他用颤抖的声音低声说,“邮件过滤器关闭了......到处都是垃圾邮件...”

当你把他扶起来时,他望着天空大喊:“地狱之门打开了!技师立刻又倒下了,轻声低语道:“恐怖......恐怖...”。

邮件过滤器中断持续了整整一天。幸运的是,报告的事件很少。但有一个例子引起了你的注意。在邮件过滤器中断期间,公司的一名员工决定玩“电子邮件轮盘赌”。该员工从收件箱中打开了一封恶意电子邮件,并将其视为合法邮件。

您收到了员工收到的四封恶意电子邮件。您还从他受感染的计算机收到了 pcap 流量。

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/58#nav-questions

2、题目解析

2.1 c41-MTA5-email-01:恶意文件的名称是什么?

可以使用Foxmail客户导入文件,查看附件为压缩包文件,解压后文件名称为:460630672421.exe

2.2 c41-MTA5-email-01:恶意软件所属的特洛伊木马家族的名称是什么?(由新出现的威胁规则集标识)

查询VT发现标签为trojan.upatre/smdjm,确定为upatre家族

2.3 c41-MTA5-email-01:恶意软件丢弃了两个具有相同哈希但名称不同的恶意文件。提供这些文件的 SHA256 哈希?(查看2015年提交的报告)

通过搜索文件的SHA256值,查看到2015年的分析信息

https://www.hybrid-analysis.com/search?query=0e3c8fbe4725db48bbd7c84a3cc748ea678fa645ac4e01cd540cb29023923360

查看关联文件显示到文件的SHA256值

https://www.hybrid-analysis.com/sample/0e3c8fbe4725db48bbd7c84a3cc748ea678fa645ac4e01cd540cb29023923360/564373f00e316d182e040843

2.4 c41-MTA5-email-01:恶意软件发起了多少 DNS 请求?(查看2015年提交的报告)

通过查看2015年的报告中,查看DNS请求中有三个网址

2.5 c41-MTA5-email-02:本文档中有多个流包含宏。提供最高一个的数字

通过Foxmail打开第二个邮件,查看附件为Excel表格

使用oledump进行分析文件,文件下载地址https://github.com/DidierStevens/DidierStevensSuite/blob/master/oledump.py

python3 oledump.py Bill Payment_000010818.xls

2.6 c41-MTA5-email-02:Excel 宏尝试下载文件。提供此文件的完整 URL?

上传Excel表格文件到VT查看网络连接存在EXE文件

2.7 c41-MTA5-email-02:用于从下载 URL 获取数据的对象的名称是什么?

上传云沙箱查看操作行为,最终确定为Microsoft.XMLHTTP

https://cybersecurityfreeresource.wordpress.com/2022/11/20/cyberdefenders-org-malware-traffic-analysis-part-5-ctf-walkthrough/

2.8 c41-MTA5-email-02:Excel 宏将文件写入临时文件夹。提供文件名?

在VT上查看文件行为包含临时文件有三个,最终测试结果为tghtop.exe

2.9 c41-MTA5-email-03:提供攻击者用于存储登录凭据的 FQDN?

使用Foxmail导入邮件,查看邮件内容包含钓鱼邮件和HTML的邮件附件

载文件附件并打开查找非americanexpress的官方网站

2.10 c41-MTA5-email-04:恶意 js 中存在多少个 FQDN?

使用Foxmail导入邮件,查看存在文件附件

对js脚本进行美化,并且人工进行合并,发现存在3个

https://lelinhtinh.github.io/de4js/

2.11 c41-MTA5-email-04:用于处理和读取文件的对象的名称是什么?

传入沙箱进行测试,查看会下载一个EXE执行程序,并且释放文件

https://www.joesandbox.com/analysis/547318/0/html

搜索createobject,根据提示内容最终结果为ADODB.Stream

2.12 c41-MTA5.pcap:受害者收到了多封电子邮件;但是,用户打开了一个附件。提供附件文件名

目前打开的邮件附件中均包含域名,其中第四个邮件是js文件,执行后会与一个站点有连接

通过brim打开pcap进行域名查找,发现匹配到第四个邮件包含的域名附件

2.13 c41-MTA5.pcap:受害机器的IP地址是什么?

根据上面搜索的域名确定受害主机IP地址为:10.3.66.103

2.14 c41-MTA5.pcap:受害计算机的主机名是什么?

通过wireshark搜索nbns查找,查看该主机请求信息,获取到主机的IP地址为:STROUT-PC

2.15 c41-MTA5.pcap:托管恶意软件的 FQDN 是什么?

通过在Brim看到FQDN为:kennedy.sitoserver.com

2.16 c41-MTA5.pcap:打开的附件将多个文件写入 TEMP 文件夹。提供写入磁盘的第一个文件的名称

在沙箱中搜索temp,查找存储在temp中的文件

https://www.joesandbox.com/analysis/547318/0/html

2.17 c41-MTA5.pcap:写入磁盘的文件之一具有以下 md5 哈希“35a09d67bee10c6aff48826717680c1c”;此恶意软件检查其是否存在哪个注册表项?

在wireshark中选择导出,并过滤恶意域名发现有三个文件,选择导出。通过MD5校验发现400k大小的文件符合MD5值

通过x32debug进行调试,设置断点Bp RegOpenKeyA,获取到注册表信息

2.18 c41-MTA5.pcap:写入磁盘的文件之一具有以下md5哈希“e2fc96114e61288fc413118327c76d93”向“upload.php”页面发送了HTTP post请求。提供网络服务器 IP。(IP 不在 PCAP 中)

通过文件HASH进行搜索,查找连接的主机和OSITN信息

https://www.hybrid-analysis.com/sample/f195bc9c26e0819663a907f855f6cff1125812993b89ba9d7bc48272181e2c73?environmentId=1

2.19 c41-MTA5.pcap:恶意软件在感染后发起了回调流量。提供目标服务器的 IP

已经知道受害机IP地址,根据受害机连接传输的数据大小进行排序,测试得到地址为109.68.191.31


文章来源: http://mp.weixin.qq.com/s?__biz=MzI2MDI0NTM2Nw==&mid=2247489632&idx=1&sn=1bd37e9db897cada5b981fca2353dac2&chksm=ea6dca78dd1a436eef657784602cbc6e888a4dae893ba0b68b513c016aea4208b80d17887591#rd
如有侵权请联系:admin#unsafe.sh