問題

解いてみた

①感染端末から痕跡を探す方法。
②マルウェアから通信先を探す方法。

の2通りがあるようですが、Windowsの仮想マシンを持っていないので、今回は①感染端末から痕跡を探す方法でやります。

ハチベさんが感染しているので、そのPCを調べます。
Web履歴を調べてみます。

BrowsingHistoryViewを使います。

問題文で「〇〇.com」だということはわかっているので、それに絞ると

lh3.googleusercontent.com

が怪しいけどgoogleっぽいけど。。。
まぁ一応入力してみましたが、やはり違いました。

キャッシュ調べてみますか。

IECacheViewを使います。

調べるフォルダは

\PC13\Users\user13\AppData\Local\Microsoft\Windows\Temporary Internet Files

です。

がっつりマルウェアをダウンロードしてますね。
ということでこれが答え。

と思ったら違いました。
このマルウェアがどこに通信するか？っていう問題か？

ということは、このダウンロード直後にアクセスしているところが答えかなと思って、LastAccessdで並び替えてみたら、これが最後のアクセスだった。。。

んー。通信ログないかな？と思って再度オープンワールド見てたらプロキシのログが見れることが分かった。

これを見れば話が早い。

さっきのmalware.exeをダウンロード後に通信している.comを見るといくつかあって、そのなかに答えがあった。

ちなみに
IPアドレスの4オクテットが13のやつだと「ocsp.digicert.com」なのかなと思ったら違って、もう一つのほうでした。
IPの4オクテットが19の人も感染しているということがわかった。