您是一家名为A Bridge Too Far Enterprises的加拿大公司的分析师。在星期五 2015-09-11,您在公司的安全运营中心 (SOC) 工作时会看到以下警报:
您的 IDS 设备一直存在一些问题,因此在此期间可能会有来自网络的其他警报。你只是没有看到它们。警报出现后不久,您的技术支持人员就会接到某人抱怨勒索软件感染的电话。来电者是格雷戈里·弗兰克利翁(发音为“弗兰克狮子”)。
您的一位应急专家正在检查格雷戈里受感染的Windows计算机。结果呢?Greggory的计算机被CryptoWall 3.0感染了两次。两次感染发生在几分钟内。取证人员从受感染的主机中恢复了两个CryptoWall 3.0恶意软件样本。
您可以检索适当时间范围内的流量上限。另一位分析师搜索了该公司的邮件服务器,并检索到了格雷戈里当天早些时候收到的四封恶意电子邮件。他们以某种方式通过了垃圾邮件过滤器。
https://cyberdefenders.org/blueteam-ctf-challenges/59#nav-questions
使用Foxmail导入邮件,并查看邮件附件压缩包内容为Homicide-case#9347728.zip
上传文件附件到VT,查看文件详情可以看到提交时间
查看连接的URL是50个,由于文件比较旧,题目出的时候只有48个
查看DNS请求信息,获取到的地址为icanhazip.com
使用Foxmail导入邮件,并提取出文件附件
上传文件附件到VT上进行查杀,查看文件创建时间
使用oledump进行查看,发现在编号3中发现包含宏
python3 oledump.py Patricia_Daniel_resume.doc
通过谷歌进行搜索,发现提示为VBA Stomping
根据文件中提供的2个EXE执行程序,进行VT上传查看SHA256值
通过Foxmail导入邮件,查看网页超链接获取到虚假的URL
http://www.smkind.co.za/Images/Buttons/13v.php
使用Foxmail导入邮件,查看文件附件压缩包内容为js文件
上传js文件到VT上,查看关联中,显示域名有3个。
通过对js文件美化,并查看js文件返回内容,判断200为标准的响应
https://lelinhtinh.github.io/de4js/
通过题目中获取到文件被执行,并且在第八道题中看到2015年文件已经被上传恶意过,该恶意的文件对应的邮件为c42-MTA6-1422-UTC.eml
根据题目中的告警内容,通过Brim搜索Trojan木马告警信息,获取到受害主机IP地址
event_type=="alert" alert.category=="A Network Trojan was detected"
既然已经知道受害主机IP地址,通过wireshark搜索nbns查看主机名称
查询恶意攻击,根据规则搜索恶意攻击包名称
event_type=="alert" alert.category=="Exploit Kit Activity Detected"
根据攻击类型方式,通过Angler攻击通过flash脚本。在wireshark中选择文件导出过滤flash文件,获取到主机名为randt.smittysautomart.org
通过主机名搜索,获取到主机的IP地址为216.245.212.78
通过Brim进行过滤查找,查看referer来源第一个地址
_path=="http" and host=="randt.smittysautomart.org"