Cyberdefenders蓝队-恶意软件流量分析3

1、题目简介

1.1 背景介绍

附加的 PCAP 属于 Exploitation Kit 感染。使用您最喜欢的工具对其进行分析并回答挑战问题

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/21

2、题目解析

2.1 被感染的Windows 虚拟机的IP地址是什么

1.通过在wireshark中查看会话状态

开始网络分析的一个好地方是了解哪些主机在数据包捕获中进行通信，打开wireshark选择【统计】–【会话】，查看TCP会话状态。查看会话状态为192.168.137.1和192.168.137.1为内网IP地址

同时查询2个内网IP地址通信协议为DNS，判断失陷主机为192.168.137.62

ip.addr == 192.168.137.1 and ip.addr == 192.168.137.62

2.2 漏洞利用工具包 (EK) 的名称是什么？（两个字）

上传到恶意数据包分析平台查看，漏洞利用工具包名称为Angler EK

https://packettotal.com/

2.3 提供漏洞利用工具包的 FQDN 是什么

根据查看获取的恶意IP地址为192.99.198.158，通过搜索该IP的http请求，查看域名为：qwe.mvdunalterableairreport.net

ip.addr == 192.99.198.158 and http

2.4 指向漏洞攻击包登录页面的重定向 URL 是什么

根据上面看到的http请求，查看第一个http请求数据包，并追踪HTTP流

查看http请求中Referer信息为：http://lifeinsidedetroit.com/02024870e4644b68814aadfbb58a75bc.php?q=e8bd3799ee8799332593b0b9caa1f426

2.5 受感染网站的 FQDN 是什么

使用Brim进行查询http流量进行排序，查看均为Referer的地址：earsurgery.org

_path=="http" | sort ts

2.6 哪个TCP流显示正在传送的恶意软件负载？提供流号

在 Wireshark 中，单击文件>导出>HTTP，然后过滤 qwe.mvdunalterableairreport.net。我们可以看到它是包含 application/octet-stream 的数据包 2957，它是有效负载

找到2957序号并追踪数据流，显示数据流编号为80

2.7 C&C服务器的IP地址是多少

在数据包分析平台中，查看有一个告警为SSL自签名，并且签名内容不正常，服务器的IP地址为209.126.97.209

2.8 SSL 证书的到期日期是什么时候

通过上面获取到的IP地址，在wireshark中进行过滤，在序号3116中查看SSL建立连接的数据包，显示过期时间为2024-11-24 16:39:56 (UTC)

2.9 恶意域提供ZIP存档。此存档中包含的DLL文件的名称是什么

在数据包分析平台选择文件，并搜索zip文件，在VT上打开

在VT上查找关联会发现一个dll文件为：icVsx1qBrNNdnNjRI.dll

2.10 提取恶意软件负载，对其进行反混淆处理，并删除开头的shellcode。这应该会为您提供用于感染的实际负载（一个DLL文件）。有效负载的MD5哈希值是多少

在问题3中，是 qwe.mvdunalterableairreport.net 提供了漏洞，通过wireshark导出文件

查看文件类型为data

在 Kali linux 中使用 hexeditor 检查内容，并注意到它似乎已编码或加密，并注意到重复出现的模式字符串“adR2b4nh”

使用 Angler EK 在线搜索，我们会看到它是一个带有键 adR2b4nh 的 XOR 字符串

使用CyberChef 对其进行 XOR并下载文件

使用binwalk工具搜索嵌入式文件和可执行代码

binwalk --dd='.*' download.dat --run-as=root

查看提取出来的文件名称为591，文件类型为Windows程序

查看文件md5值

md5sum 591 

2.11 PE文件编译时启用的两种保护方式是什么

使用checksec.exe检测文件安全保护

https://github.com/Wenzel/checksec.py
checksec.exe 591

2.12 DLL文件是什么时候编译的

文件上传到VT上进行分析，查看文件创建时间为2002-01-09

2.13 Flash文件与重定向URL结合使用。使用什么URL检索此Flash文件

使用Brim进行搜索http中关于flah相关的类型

_path=="http" "application/x-shockwave-flash" in resp_mime_types

2.14 被利用漏洞的CVE是多少

使用谷歌搜索Angler EK adR2b4nh cve

2.15 受感染主机使用的 Web 浏览器版本是什么

搜索http标签，随便打开一个数据包，查看http请求中的User-Agent可以看到使用的是9.0版本Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)

2.16 具有最高 RTT 的 DNS 查询是什么

使用Brim进行查询，查看DNS的RTT值进行排序，查看RTT最高的是：ssl.gstatic.com

_path=="dns" | sort -r rtt

2.17 出现次数最多的 SSL 证书颁发者的名称是什么

使用Brim进行搜索，发现最多的颁发者机构为谷歌

_path=="ssl" | sort issuer

原文始发于微信公众号（安全孺子牛）：Cyberdefenders蓝队-恶意软件流量分析3