cyberdefenders—-恶意软件流量分析 2
cyberdefenders—-恶意软件流量分析 2
防守更聪明,而不是更难
0x01 前言
CyberDefenders: Blue Team CTF Challenges
[CyberDefenders](https://cyberdefenders.org/) 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。
0x02 题目简介
题目链接:恶意软件流量分析
解压密码:cyberdefenders.org
通过题目给出的流量包进行分析并回答下面1-17的问题。
0x03 解题过程
0x03_1 被感染的 Windows 虚拟机的 IP 地址是什么?
解题
使用brim打开流量包,输入命令
event_type=="alert" | alerts := union(alert.category) by src_ip, dest_ip
发现别漏洞利用的主机ip为:172.16.165.132
答案
被感染的 Windows 虚拟机的 IP 地址是:172.16.165.132
0x03_2 受感染虚拟机的 MAC 地址是什么?
解题
我们使用wireshark检索一个ip为172.16.165.132的IP查看其MAC地址就可以
答案
受感染虚拟机的 MAC 地址是:00:0c:29:c5:b7:a1
0x03_3 传送漏洞利用工具包和恶意软件的 IP 地址和端口号是什么?
解题
由于从上题我们知道受感染虚拟机(ip为172.16.165.132)和传送漏洞工具的主机(ip为37.143.15.180)所以我的思路是通过连接的建立,使用conn的相关命令,因此使用brim输入以下命令
_path=="conn" | put total_bytes := orig_bytes + resp_bytes | sort -r total_bytes | cut uid, id, orig_bytes, resp_bytes, total_bytes
答案
传送漏洞利用工具包和恶意软件的 IP 地址和端口号是:37.143.15.180和51439
0x03_4 提供漏洞利用工具包的两个 FQDN 是什么?按字母顺序以逗号分隔。
解题
使用在线流量分析网站解析流量包,发现恶意活动,检索来自于网站ip为37.143.15.180的信息发现有用信息
答案
提供漏洞利用工具包的两个 FQDN 是g.trinketking.com和h.trinketking.com
0x03_5 受感染网站的 IP 地址是什么?
解题
要查询受感染网站的 IP 地址,所以我们要查看的是与漏洞利用主机(37.143.15.180)的referer信息,输入以下命令
_path=="http" 37.143.15.180 referrer status_msg=="OK”
接着使用dns命令查询这个受感染网站的IP
_path=="dns" hijinksensue.com
答案
受感染网站的 IP 地址是192.30.138.146
0x03_6 受感染网站的 FQDN 是什么?
解题
有上题可知受感染网站的 FQDN
答案
受感染网站的 FQDN 是hijinksensue.com
0x03_7 传送恶意软件的漏洞利用工具包 (EK) 的名称是什么?(两个字)
解题
使用流量分析网站可以发现传送恶意软件的漏洞利用工具包 (EK) 的名称
答案
传送恶意软件的漏洞利用工具包 (EK) 的名称是:Sweet Orange
0x03_8 指向漏洞攻击包登录页面的重定向 URL 是什么?
0x03_9 指向漏洞利用工具包登录页面的重定向 URL 的 IP 地址是什么?
解题
使用brim输入以下命令
_path=="dns" static.charlotteretirementcommunities.com
答案
向漏洞利用工具包登录页面的重定向 URL 的 IP 地址是:50.87.149.90
0x03_10 从 PCAP 中提取恶意软件负载(PE 文件)的MD5 哈希?
使用brim发现之后一个pe文件
接着使用流量分析网站提取可执行的文件,将其导出(注意在虚拟机中进行)
使用Windows下的命令查看这个pe文件的md5值
certutil -hashfile 绝对路径 MD5
答案
从 PCAP 中提取恶意软件负载(PE 文件)的MD5 哈希为:1408275c2e2c8fe5e83227ba371ac6b3
0x03_11 被利用漏洞的CVE是多少?
解题
由题0x03_7我们可知漏洞利用成功的包为Sweet Orange,所以使用浏览器检索Sweet Orange对应的cve编号
答案
被利用漏洞的CVE是:cve-2014-6332
0x03_12 使用 Zeek 分析花费最长时间(持续时间)的文件的 MIME 类型是什么?
解题
使用brim过滤files并按duration(持续时间)排序,输入以下命令
_path=="files" | sort -r duration
答案
用 Zeek 分析花费最长时间(持续时间)的文件的 MIME 类型是application/x-dosexec
0x03_13 返回文件“f.txt”的已访问 URI 的引荐来源网址是什么?
解题
在brim中使用以下命令查看referer信息发现仅有一个网站
f.txt | fuse
答案
返回文件“f.txt”的已访问 URI 的引荐来源网址是http://hijinksensue.com/assets/verts/hiveworks/ad1.html
0x03_14 这个 PCAP 是什么时候捕获的?
解题
使用brim输入以下命令,达到按时间排序的目的,可以发现流量包最早存在的时间
sort -r ts
答案
这个 PCAP 是2014-11-23的时候捕获的。
0x03_15 PE文件是什么时候编译的?
解题
通过对pe文件的检索,在brim上可以发现编译时间,对应的属性为compile_ts
答案
PE文件是编译时间为:2014-11-23
0x03_16 只出现一次的 SSL 证书颁发者的名称是什么?(一个词)
解题
使用brim过滤ssl,使用以下命令发现只有一个出现一次
_path=="ssl"
答案
只出现一次的 SSL 证书颁发者的名称是Cybertrust
0x03_17 当前PE文件编译时启用的两种保护方式是什么?格式:按字母顺序逗号分隔
解题
将0x03_10题目中导出的pe文件放入pev的安装目录中去
在这个目录下打开cmd输入以下命令,可以发现两个保护机制是yes
.\pesec.exe .\extract-1416704329.292659-HTTP-F3Y0AS35Og90cuDZH3.raw
答案
当前PE文件编译时启用的两种保护方式是DEP和SEH。