Cyberdefenders蓝队-恶意软件流量分析2

1、题目简介

1.1 背景介绍

附加的 PCAP 属于 Exploitation Kit 感染。使用您最喜欢的工具对其进行分析并回答挑战问题

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/20

2、题目解析

2.1 被感染的Windows虚拟机的IP地址是什么

1.通过在wireshark中查看会话状态

开始网络分析的一个好地方是了解哪些主机在数据包捕获中进行通信，打开wireshark选择【统计】–【会话】，查看TCP会话状态。查看会话状态均为172.16.165.132通信信息

2.通过工具查看会话信息

通过在线数据包工具查看内网IP地址只有2个，其中172.16.165.2为DNS服务器

https://apackets.com/pcaps/graph

在DNS会话中查看确定受感染主机为172.16.165.132

3.答案

根据上述的方法确定受感染的IP地址为172.16.165.132

2.2 受感染虚拟机的MAC地址是什么

通过在wireshark中查看改IP地址的数据包，获取到MAC地址为00:0c:29:c5:b7:a1

2.3 传送漏洞利用工具包和恶意软件的IP地址和端口号是什么

使用Brim进行查询告警信息，查看包含漏洞利用工具

基于漏洞利用工具关键字进行检测"Exploit Kit Activity Detected"，获取到恶意软件的IP地址和端口。

IP地址和端口为：37.143.15.180:51439

2.4 提供漏洞利用工具包的两个FQDN是什么？按字母顺序以逗号分隔

通过Brim针对恶意IP地址进行过滤搜索，发现有2个域名地址

查询语法为：_path=="http" 37.143.15.180

域名分别为：g.trinketking.com，h.trinketking.com

2.5 受感染网站的IP地址是什么？

查看http中的referer字段，看到受感染的域名为http://hijinksensue.com/

通过查询DNS请求内容，获取到解析的IP地址为192.30.138.146

查询语法为：_path=="dns" query=="hijinksensue.com"

2.6 受感染网站的FQDN是什么

根据2.5获取到的域名，FQDN为：hijinksensue.com

2.7 传送恶意软件的漏洞利用工具包 (EK) 的名称是什么

通过在线数据包分析查看，告警的规则是Sweet Orange

https://packettotal.com/

2.8 指向漏洞攻击包登录页面的重定向URL是什么

通过在线数据包分析平台进行自动分析，发现该URL存在页面重定向，并且请求来源为受感染的站点。

https://packettotal.com/

请求URL为：static.charlotteretirementcommunities.com/k?tstmp=3701802802

2.9 指向漏洞利用工具包登录页面的重定向URL的IP地址是什么

通过查询DNS请求数据包，获取到DNS解析的IP地址为50.87.149.90

2.10 从PCAP中提取恶意软件负载（PE 文件）的MD5哈希是什么

通过搜索恶意文件告警信息，查看到请求的会话信息，包括源目IP和源目端口

通过在wireshark中搜索数据包信息并追踪http流查看

http && ip.src==37.143.15.180 && ip.dst==172.16.165.132 && tcp.srcport==51439 && tcp.dstport==49398

获取到下载流方式

选择http导出对象，选择application/octet-stream，导出为test.exe

上传到VT，获取文件MD5值内容为：1408275c2e2c8fe5e83227ba371ac6b3

2.11 被利用漏洞的CVE是多少

基于浏览器搜索获取到CVE编号为：CVE-2014-6332

2.12 使用Zeek分析花费最长时间（持续时间）的文件的 MIME 类型是什么

基于文件进行搜索，并进行分析查看时间最长为application/x-dosexec类型

_path=="files" | sort -r duration

2.13返回文件”f.txt”的已访的URL的referer来源网址是什么

通过Brim搜索http协议中包含f.txt文件信息，获取到referer信息为：http://hijinksensue.com/assets/verts/hiveworks/ad1.html

_path=="http" f.txt

2.14这个PCAP是什么时候捕获的

通过Brim中删除所有搜索，即可看到时间为2014-11-23

2.15 PE文件是什么时候编译的

使用VT查看2.10导出的exe文件，查看历史可以看到创建时间为2014-11-21

2.16 只出现一次的SSL证书颁发者的名称是什么

通过在Brim中搜索SSL查看证书颁发者为：CyberTrust

_path=="ssl"

2.17 当前PE文件编译时启用的两种保护方式是什么

通过搜索引擎获取到是DEP(Data Execution Prevention)和SEH(Structured Exception Handling)

原文始发于微信公众号（安全孺子牛）：Cyberdefenders蓝队-恶意软件流量分析2