Puzzle #5: Ms. Moneymany’s Mysterious Malware
1. As part of the infection process, Ms. Moneymany’s browser downloaded two Java applets. What were the names of the two .jar files that implemented these applets?
하나씩 살펴보면, jar 파일을 요청하는 패킷 2개를 확인할 수 있다.
: sdfg.jar, q.jar
2. What was Ms. Moneymany’s username on the infected Windows system?
MD5 파라미터에 악성 파일의 MD5 해시값이 넘어가고 있는걸로 봐서는 ADMINISTRATOR인 것 같다.
: ADMINISTRATOR
3. What was the starting URL of this incident? In other words, on which URL did Ms. Moneymany probably click?
IP 192.168.23.129 확인 해보면 "http://nrtjo.eu/true.php"와 "http://nrtjo.eu/xxx.xxx"로 접속하고 있다.
처음 접속한 URL이 "http://nrtjo.eu/true.php"이다.
4. As part of the infection, a malicious Windows executable file was downloaded onto Ms. Moneymany’s system. What was the file’s MD5 hash? Hint: It ends on “91ed”.
전송된 파일의 내용을 보면 실행 파일의 매직 넘버의 MZ이 있다.
raw로 저장 후 hxd로 MZ 앞에 있는 불필요한 값들을 지워 주고 다시 저장하면 된다? 하하ㅏ하 악성 파일로 감지되어 저장이 안된다.
NetworkMiner.exe 다운 받아서 다시 실행해 보겠다. 악성 파일로 감지 되어 안된다. 가상 머신이 실행이 되는대로 다시 문제를 풀어 보려고 한다.
5. What is the name of the packer used to protect the malicious Windows executable? Hint: This is one of the most popular freely-available packers seen in “mainstream” malware.
: UPX
6. What is the MD5 hash of the unpacked version of the malicious Windows executable file?
7. The malicious executable attempts to connect to an Internet host using an IP address which is hard-coded into it (there was no DNS lookup). What is the IP address of that Internet host?
NetworkMiner로 확인 해보면, dns조회를 하지 않은 IP주소 213.155.29.144로 확인이 된다.
: 213.155.29.144
'SKS!_2024 하계 방학 STUDY' 카테고리의 다른 글
| [SKS!/Forensics] 3주차 | Wednesday| 문제 MrRobot Blue Team Lab [6 ~ 10] (0) | 2024.08.16 |
|---|---|
| [SKS!/Forensics] 3주차 | Tuesday 문제 MrRobot Blue Team Lab [~5] (0) | 2024.08.16 |
| [SKS!/Forensics] 2주차 | Thursday 문제 1 evidence04 (0) | 2024.07.27 |
| [SKS!/Forensics] 2주차 | Wednesday| 문제 1 what did I write? (0) | 2024.07.26 |
| [SKS!/Forensics] 2주차 | Tuesday 문제 1 evidence03 (0) | 2024.07.26 |
