题目介绍
这是一个早晨的仪式,莫尼曼尼一边啜饮着咖啡,一边快速浏览着夜里收到的邮件,其中一条消息引起了她的注意,因为它显然是通过了邮件过滤器的垃圾邮件,这条信息颂扬了在网上买药的好处并包含了一个网上药店的链接,莫尼曼尼女士认为"人们真的会相信这种东西吗?",她很想知道网站如何说服访问者购买,所以她点击了链接,然而该网站加载缓慢似乎是坏了,页面上没有内容,失望之余莫尼列关闭了浏览器窗口,继续她的一天,她没有意识到她的Windows XP电脑刚刚被感染了
现在的你是调查员且拥有记录Moneymany女士与网站互动的网络截图(PCAP)文件,您的任务是了解Moneymany女士点击链接后她的系统可能会发生什么情况,您的分析将从PCAP文件开始并揭示一个恶意的可执行文件,这是这个谜题的网络捕获文件,这个PCAP文件的MD5哈希是c09a3019ada7ab17a44537b069480312,请使用正式提交表格提交您的答案
1.作为感染过程的一部分,Moneymany女士的浏览器下载了两个Java小程序,这两个程序的名字是什么?实现这些小程序的jar文件?
2.Moneymany女士在被感染的Windows系统上的用户名是什么?
3.这个事件的起始网址是什么?换句话说Moneymany女士可能点击了哪个网址?
4.作为感染的一部分一个恶意的Windows可执行文件被下载到了Moneymany的系统中,文件的MD5哈希是什么?提示:以"91ed"结尾
5.用于保护恶意Windows可执行文件的打包程序的名称是什么?提示:这是"主流"恶意软件中最流行的免费打包程序之一
6.恶意Windows可执行文件的解压缩版本的MD5哈希是什么?
7.恶意可执行文件试图使用硬编码的IP地址连接到互联网主机(没有DNS查找),那个互联网主机的IP地址是什么?
此外请注意为了完成对该事件的全面分析,我们应该检查进入Moneymany女士系统的恶意可执行文件,这个任务超出了这个特定谜题的范围,但是我们可以在后面的谜题中看到它
报文分析
报文下载:https://forensicscontest.com/contest05/infected.pcap
分析流程:
首先对于第一个问题"作为感染过程的一部分,Moneymany女士的浏览器下载了两个Java小程序,这两个程序的名字是什么?实现这些小程序的jar文件?",由于是使用浏览器下载的,所以我们直接检索HTTP协议即可获取到对应的程序名称为:q.jar、sdfq.jar,同时可以了解到攻安娜的IP地址为192.168.23.129,恶意文件托管地址为59.53.91.102
http
tcp contains ".exe"
文末小结
本篇文章主要介绍通过wireshark对恶意通信流量的分析,主要涉及过滤器的使用、文件提取、数据流跟踪等维度
原文始发于微信公众号(七芒星实验室):WireShark网络取证分析第五集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论