問題「Phishing Analysis Fundamentals」
Phishing Analysis Fundamentals created by tryhackme
このroomで学ぶ内容は
Learn all the components that make up an email.
(Eメールの構成要素(部品)を学びます。)
です。
このRoomには以下の7つのTaskがあります。それぞれに数問の問題があります。
問題には答えをテキストボックスに入力するタイプと説明を読んで終わりのタイプがあります。
それぞれCompletedボタンをクリックすると回答が完了します。
もし回答が不正解であっても修正して再度回答することができます。
- [Task 1 Introduction]
- [Task 2 The Email Address]
- [Task 3 Email Delivery]
- [Task 4 Email Headers]
- [Task 5 Email Body]
- [Task 6 Types of Phishing]
- [Task 7 Conclusion]
Task 1 Introduction
Taskのタイトルバーの右端にあるアイコンはデプロイ(配置して使用)できるマシンがあることを表します。
▷Start Machineボタンをクリックするとマシンが起動します。
A bird's-eye view
このroomの序文にあたります。
Answer the questions below
Read the above and launch the attached VM.
本文を読み終えたらCompletedボタンをクリックして回答を完了します。
Task 2 The Email Address
A bird's-eye view
Eメールアドレスについての説明です。
Answer the questions below
以下すべてに共通するヒントです。
- Task2の本文の中で説明されている部分を探します。
Email dates back to what time frame?
Eメールに関する年代に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 3 Email Delivery
A bird's-eye view
Eメール配信についての説明です。
Answer the questions below
以下すべてに共通するヒントです。
- "as Secure Transport"がヒントです。
- Task3の本文の中で説明されている部分を探します。
- もしも見つからない場合は記載されているリンク先にヒントがあります。
What port is classified as Secure Transport for SMTP?
SMTPに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What port is classified as Secure Transport for IMAP?
IMAPに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What port is classified as Secure Transport for POP3?
POP3に関係がありそうです。"as Secure Transport"が注意点です。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 4 Email Headers
A bird's-eye view
Eメールヘッダーについての説明です。
Task1でデプロイしたサーバーでファイルマネージャーからemail1.emlをダブルクリックすると、
raw messageが読めます。
Answer the questions below
以下すべてに共通するヒントです。
- Task4の本文の中で説明されている部分を探します。
- もしも見つからない場合は記載されているリンク先にヒントがあります。
What email header is the same as "Reply-to"?
EメールヘッダーのReply-toに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Once you find the email sender's IP address, where can you retrieve more information about the IP?
Eメールヘッダーに記載されているIPアドレス調査に関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 5 Email Body
A bird's-eye view
Eメールの本文についての説明です。
Answer the questions below
以下すべてに共通するヒントです。
- Task5の本文の中で説明されている部分を探します。
- もしも見つからない場合は記載されているリンク先にヒントがあります。
In the above screenshots, what is the URI of the blocked image?
メールの内容(HTMLメール)にある画像のURLに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
In the above screenshots, what is the name of the PDF attachment?
メールに添付されたPDFに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
In the attached virtual machine, view the information in email2.txt and reconstruct the PDF using the base64 data. What is the text within the PDF?
メールに添付されたPDFに関係がありそうです。
ヒント:
CyberChefを起動してemail2.txtからPDFファイルを抽出してみましょう。
どの部分を読み込むのかがポイントです。
拡張子を変更して保存し開いてみましょう。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 6 Types of Phishing
A bird's-eye view
フィッシングメールの種類についての説明です。
Hyperlinks and IP addresses should be 'defanged'. You can read more about this technique here.
(ユーザーが誤って悪意のあるリンクをクリックしたりIPアドレスを使用してしまうのを防ぐために「デファング(無害化)」します。)
リンクはこちらに変更になっています。---> E メール通知の Defang URL
以下は無害化の例になります。
無害化はTask5で使用したCyberChefでもできます。
Answer the questions below
以下すべてに共通するヒントです。
- Task6の本文の中で説明されている部分を探します。
- 一つの方法としてはemail3.emlをダブルクリックしてテキストを表示、該当する項目のテキストをCyberChefでデコードします。しかし単純にコピーしただけではエラーになります。
どこかを抜き出したらできそうです。
What trusted entity is this email masquerading as?
masqueradingはどこかにありましたね。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the sender's email?
senderに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the subject line?
subjectに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
What is the URL link for - CLICK HERE? (Enter the defanged URL)
CLICK HEREに関係がありそうです。
テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
Task 7 Conclusion
A bird's-eye view
このroomの結びにあたります。
Answer the questions below
What is BEC?
Task7の本文の中で説明されている部分を探します。テキストボックスに入力したらCompletedボタンをクリックして回答を完了します。
最後に
最後まで読んでいただきありがとうございました。
今回はTryHackMeの数多くのroomから身近な脅威であるフィッシングメールについて学ぶシリーズの1つを取り上げました。
この連載があなたのサイバーセキュリティ学習のお役に立てれば幸いです。