問題
解いてみた
①感染端末から痕跡を探す方法。
②マルウェアから通信先を探す方法。
の2通りがあるようですが、Windowsの仮想マシンを持っていないので、今回は①感染端末から痕跡を探す方法でやります。
ハチベさんが感染しているので、そのPCを調べます。
Web履歴を調べてみます。
BrowsingHistoryViewを使います。
問題文で「〇〇.com」だということはわかっているので、それに絞ると
lh3.googleusercontent.com
が怪しいけどgoogleっぽいけど。。。
まぁ一応入力してみましたが、やはり違いました。
キャッシュ調べてみますか。
IECacheViewを使います。
調べるフォルダは
\PC13\Users\user13\AppData\Local\Microsoft\Windows\Temporary Internet Files
です。
がっつりマルウェアをダウンロードしてますね。
ということでこれが答え。
と思ったら違いました。
このマルウェアがどこに通信するか?っていう問題か?
ということは、このダウンロード直後にアクセスしているところが答えかなと思って、LastAccessdで並び替えてみたら、これが最後のアクセスだった。。。
んー。通信ログないかな?と思って再度オープンワールド見てたらプロキシのログが見れることが分かった。
これを見れば話が早い。
さっきのmalware.exeをダウンロード後に通信している.comを見るといくつかあって、そのなかに答えがあった。
ちなみに
IPアドレスの4オクテットが13のやつだと「ocsp.digicert.com」なのかなと思ったら違って、もう一つのほうでした。
IPの4オクテットが19の人も感染しているということがわかった。