2014-11-16 TRAFFIC ANALYSIS EXERCISE ANSWERS

https://www.malware-traffic-analysis.net/2014/11/16/index.html

Malware-Traffic-Analysis.net - 2014-11-16 - Traffic analysis exercise

 

 

LEVEL 1.

1) What is the IP address of the Windows VM that gets infected?
2) What is the host name of the Windows VM that gets infected?
3) What is the MAC address of the infected VM?
4) What is the IP address of the compromised web site?
5) What is the domain name of the compromised web site?
6) What is the IP address and domain name that delivered the exploit kit and malware?
7) What is the domain name that delivered the exploit kit and malware?

 

 

LEVEL 2.

1) What is the redirect URL that points to the exploit kit (EK) landing page?
2) Besided the landing page (which contains the CVE-2013-2551 IE exploit), what other exploit(s) sent by the EK?
4) How many times was the payload delivered?
5) Submit the pcap to VirusTotal and find out what snort alerts triggered.  What are the EK names are shown in the Suricata alerts?

 

 

 

 

 

 

LEVEL 1.

1) 감염된 Windows VM의 IP 주소는?

 

패킷을 열어보면 checksum 오류를 뜻하는 검은 바탕에 빨간 글씨로 이루어진 패킷이 존재한다. 감염된 PC는 Windows라고 지정해줬기 때문에 172.16.165.165가 Windows가 맞는지 NetworkMiner를 이용해 확인해본다.

 

 

 

answers: 172.16.165.165

 

 

 

 

2) 감염된 Windows VM의 호스트 이름은?

위의 NetworkMiner에서 확인할 수 있다.

또는 와이어샤크 필터식으로 nbns를 입력하여 host name 확인이 가능하다.

 

answers: K34EN6W3N-PC

 

 

 

 

3) 감염된 VM의 MAC 주소는?

이 문제도 NetworkMiner에서 확인할 수 있다.

 

answers: f0:19:af:02:9b:f1

 

 

 

 

4) 침해된 웹 사이트의 IP 주소는?

아래와 같이 필터식을 세워줬다.

ip.addr == 172.16.165.165 && http.request.full_uri

 

 

 

감염된 Windows에서 보낸 패킷 중 HTTP/1.1 200OK 패킷을 찾는다. 

 

 

answers: 82.150.140.30

 

 

 

 

5) 침해된 웹 사이트의 도메인 이름은?

 

answers: www.ciniholland.nl

 

 

 

 

6) 익스플로잇 킷과 악성코드를 전달한 IP 주소는?

* 익스플로잇 킷(Exploit Kit): 취약점을 이용하여 이메일, 웹 페이지 접속 등으로 악성 코드를 유포하는 자동화 소스 코드 및 도구이다.

4번의 필터식에서 패킷을 조금 내려보면 새로운 IP와 Host명을 여러 개 볼 수 있다. 

 

 

answers: 37.200.69.143

 

 

 

 

7) 익스플로잇 킷(EK)과 악성코드를 전달한 도메인 이름은?

 

answers: stand.trustandprobaterealty.com

 

 

 

 

 

LEVEL 2.

1) EK 랜딩 페이지를 가리키는 Redirection URL은?

4번 필터식에서 나온 패킷 중 host name이 다른 패킷을 찾아본다. 그 중 24corp-shop.com 이라는 Host명을 가진 패킷이 있는데 이 패킷을 잡고 Follow -> TCP Stream 을 들어간다.

 

다시 HTTP/1.1 200 OK 패킷의 Line-based text data 필드를 보면 다음과 같다.

 

 

 

answers: 24corp-shop.com

 

 

 

 

 

2) 방문 페이지(CVE-2013-2551 IE exploit 포함) 외에 EK에서 보낸 다른 exploit은?

File -> Export Object -> HTTP 에 들어간다.

 

사용된 x-msdownload 이외에도 flash exploit과 java exploit이 존재하는 것을 확인할 수 있다.

 

 

answers: x-shockwave-flash, java-archive exploit

 

 

 

 

3) payload가 몇 번 전달되었는지?

위의 2번에서 x-msdownload가 3번 전달된 것을 볼 수 있다.

 

answers: 3

 

 

 

 

4) Virus Total에 pcap을 제출하고 어떤 snort 경고가 Trigger 되었는지 확인. Suricata 경고에 표시되는 EK 이름은?

https://www.virustotal.com/gui/home/upload