Cyberdefenders Práctica Malware Traffic Analysis 1, Brad Duncan - Digital Forensics

 

Escenario

El PCAP adjunto pertenece a una infección de Exploitation Kit. Analícelo usando su herramienta favorita y responda las preguntas de desafío.

Preguntas

¿Cuál es la dirección IP de la máquina virtual de Windows que se infecta?

La dirección IP de la máquina Windows infectada es 176.16.165.165. La evidencia se obtuvo con la herramienta Brim y filtro Surica Alert by Category. 

¿Cuál es el nombre de host de la máquina virtual de Windows que se infecta?

El nombre de host de la máquina virtual de Windows es K34EN6W3N-PC. La evidencia se obtuvo con la Wireshark y el filtro DHCP.

¿Cuál es la dirección MAC de la máquina virtual infectada?

La dirección MAC de la maquina infecta es f0:19:af:02:9b:f1. La evidencia se obtuvo con la herramienta Wireshark y el filtro DHCP.

¿Cuál es la dirección IP del sitio web comprometido?

La dirección IP del sitio comprometido es 82.150.140.30. La evidencia se obtuvo con la herramienta Wireshark y la utilidad Resolved addresses.

Además, al buscar la dirección IP en listas negras (BackList) esta estaba en lista negra.

¿Cuál es el FQDN del sitio web comprometido?

El FQDN del sitio web comprometido es ciniholland.nl. La evidencia se obtuvo con la herramienta Wireshark y el filtro Resolved Adresses.

¿Cuál es la dirección IP del servidor que entregó el kit de explotación y el malware?

La dirección IP del servidor que entrego el Kit de explotación es 37.200.69.143. La evidencia se obtuvo con la herramienta Brim y el filtro Suricata Alerts by Category.

¿Cuál es el FQDN que entregó el kit de explotación y el malware?

El FQDN que entregó el kit de explotación y el malware es stand.trustandprobaterealty.com. La evidecia se obtuvo con la herramienta Wireshark y la utilidad Resolvered Adresses.

¿Cuál es la URL de redireccionamiento que apunta a la página de inicio del kit de explotación (EK)?

La URL de redireccionamiento a la página de inicio del Kit de explotación es http://24corp-shop.com/ . La evidencia se obtuvo con la herramienta Wireshark. 

Aparte de CVE-2013-2551, es decir, otra aplicación, fue atacada por el EK y comienza con "J". Proporcione el nombre completo de la aplicación.

El nombre completo de la aplicación que fue atacada por el Kit de Explotacion es Java. La evidencia se obtuvo con la herramienta Wireshark y el filtro (http contains "application/").

¿Cuántas veces se entregó la carga útil?

La carga útil se descargó 3 veces. La evidencia se obtuvo con la herramienta Wireshark y el filtro (http contains "msdownload").

El sitio web comprometido tiene un script malicioso con una URL. ¿Cuál es esta URL?

La URL del script malicioso es http://24corp-shop.com/. La evidencia se obtuvo con la herramienta Wireshark con el filtro (ip.src == 172.16.165.165 and ip.dst == 82.150.140.30 and http) y la utilidad Follow Http Stream.

Extraiga los dos archivos de explotación. ¿Cuales son los hashes de archivo MD5? (separado por comas).

Los hashes de los archivos son 7b3baa7d6bb3720f369219789e38d6ab y 1e34fdebbf655cebea78b45e43520ddf respectivamente para Flash y Java. La evidencia se obtuvo con la herramienta Wireshark para exportar los archivos del archivo .pcap y la utilidad md5sum de Linux para calcular el hash.