できなかった問題をwriteup等を参考に勉強した記録を残す。
Wiresharkでパケットを解析する問題。
DNSサーバがC2として稼働しており,PCに感染したマルウェアが盗んだ情報をC2(DNS)に送信している状況をモデルにしていると思われる。
Wireshark twoo twooo two twoo...
Protcol Hierarchy
数が少ないものを見ていく
UDP の data
HTTP の xml
HTTP の Line-based text data
Line-based text data にダミーのフラグがたくさんある。
Endpoints
192.168.38.xxx PCs
8.8.8.8 Google DNS
18.217.1.57 があやしい
18.217.1.57でフィルタした状態のProtcol Hierarchy
Line-based text data は偽フラグなのでdns を見る
応答が全部「そんな名前ないです」が返ってる
HTTP通信はたくさん行っているので,このDNS通信はC2へ盗んだ情報を送信しているものと見るべき。
Flags: 0x8183 Standard query response, No such name
Standard queryに絞ってみる
同じ名前を3か所に送ってる
重複を削除
サブドメインがBASE64みたい
cGljb0NU.reddshrimpandherring.com
RntkbnNf.reddshrimpandherring.com
M3hmMWxf.reddshrimpandherring.com
ZnR3X2Rl.reddshrimpandherring.com
YWRiZWVm.reddshrimpandherring.com
fQ==.reddshrimpandherring.com
ビンゴ
こういう問題(マルウェア解析につながるやつ)をもっと増やしてほしい。