防守更聪明,而不是更难

0x01 前言

CyberDefenders: Blue Team CTF Challenges

 [CyberDefenders](https://cyberdefenders.org/) 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。

0x02 题目简介

题目链接:恶意软件流量分析

解压密码:cyberdefenders.org

通过题目给出的流量包进行分析并回答下面1-17的问题。

0x03 解题过程

0x03_1 被感染的 Windows 虚拟机的 IP 地址是什么?

解题

使用brim打开流量包,输入命令

1
event_type=="alert" | alerts := union(alert.category) by src_ip, dest_ip

发现别漏洞利用的主机ip为:172.16.165.132

image-20230409111611528

答案

被感染的 Windows 虚拟机的 IP 地址是:172.16.165.132

0x03_2 受感染虚拟机的 MAC 地址是什么?

解题

我们使用wireshark检索一个ip为172.16.165.132的IP查看其MAC地址就可以

image-20230409111705323

答案

受感染虚拟机的 MAC 地址是:00:0c:29:c5:b7:a1

0x03_3 传送漏洞利用工具包和恶意软件的 IP 地址和端口号是什么?

解题

由于从上题我们知道受感染虚拟机(ip为172.16.165.132)和传送漏洞工具的主机(ip为37.143.15.180)所以我的思路是通过连接的建立,使用conn的相关命令,因此使用brim输入以下命令

1
_path=="conn" | put total_bytes := orig_bytes + resp_bytes | sort -r total_bytes | cut uid, id, orig_bytes, resp_bytes, total_bytes

image-20230409111722705

答案

传送漏洞利用工具包和恶意软件的 IP 地址和端口号是:37.143.15.18051439

0x03_4 提供漏洞利用工具包的两个 FQDN 是什么?按字母顺序以逗号分隔。

解题

使用在线流量分析网站解析流量包,发现恶意活动,检索来自于网站ip为37.143.15.180的信息发现有用信息

image-20230409111737902
答案

提供漏洞利用工具包的两个 FQDN 是g.trinketking.com和h.trinketking.com

0x03_5 受感染网站的 IP 地址是什么?

解题

要查询受感染网站的 IP 地址,所以我们要查看的是与漏洞利用主机(37.143.15.180)的referer信息,输入以下命令

1
_path=="http" 37.143.15.180 referrer status_msg=="OK”

image-20230409111756074

接着使用dns命令查询这个受感染网站的IP

1
_path=="dns" hijinksensue.com

image-20230409111810918

答案

受感染网站的 IP 地址是192.30.138.146

0x03_6 受感染网站的 FQDN 是什么?

解题

有上题可知受感染网站的 FQDN

答案

受感染网站的 FQDN 是hijinksensue.com

0x03_7 传送恶意软件的漏洞利用工具包 (EK) 的名称是什么?(两个字)

解题

使用流量分析网站可以发现传送恶意软件的漏洞利用工具包 (EK) 的名称

image-20230409111822809

答案

传送恶意软件的漏洞利用工具包 (EK) 的名称是:Sweet Orange

0x03_8 指向漏洞攻击包登录页面的重定向 URL 是什么?

image-20230409111835720

0x03_9 指向漏洞利用工具包登录页面的重定向 URL 的 IP 地址是什么?

解题

使用brim输入以下命令

1
_path=="dns" static.charlotteretirementcommunities.com

image-20230409111848847

答案

向漏洞利用工具包登录页面的重定向 URL 的 IP 地址是:50.87.149.90

0x03_10 从 PCAP 中提取恶意软件负载(PE 文件)的MD5 哈希?

使用brim发现之后一个pe文件

image-20230409111900577

接着使用流量分析网站提取可执行的文件,将其导出(注意在虚拟机中进行)

image-20230409111912306

使用Windows下的命令查看这个pe文件的md5值

1
certutil -hashfile 绝对路径 MD5

image-20230409111924716

答案

从 PCAP 中提取恶意软件负载(PE 文件)的MD5 哈希为:1408275c2e2c8fe5e83227ba371ac6b3

0x03_11 被利用漏洞的CVE是多少?

解题

由题0x03_7我们可知漏洞利用成功的包为Sweet Orange,所以使用浏览器检索Sweet Orange对应的cve编号

image-20230409111942408

答案

被利用漏洞的CVE是:cve-2014-6332

0x03_12 使用 Zeek 分析花费最长时间(持续时间)的文件的 MIME 类型是什么?

解题

使用brim过滤files并按duration(持续时间)排序,输入以下命令

1
_path=="files" | sort -r duration

image-20230409112044080

答案

用 Zeek 分析花费最长时间(持续时间)的文件的 MIME 类型是application/x-dosexec

0x03_13 返回文件“f.txt”的已访问 URI 的引荐来源网址是什么?

解题

在brim中使用以下命令查看referer信息发现仅有一个网站

1
f.txt | fuse

image-20230409112008879

答案

返回文件“f.txt”的已访问 URI 的引荐来源网址是http://hijinksensue.com/assets/verts/hiveworks/ad1.html

0x03_14 这个 PCAP 是什么时候捕获的?

解题

使用brim输入以下命令,达到按时间排序的目的,可以发现流量包最早存在的时间

1
sort -r ts

image-20230409112146186

答案
这个 PCAP 是2014-11-23的时候捕获的。

0x03_15 PE文件是什么时候编译的?

解题

通过对pe文件的检索,在brim上可以发现编译时间,对应的属性为compile_ts

image-20230409112132785

答案

PE文件是编译时间为:2014-11-23

0x03_16 只出现一次的 SSL 证书颁发者的名称是什么?(一个词)

解题

使用brim过滤ssl,使用以下命令发现只有一个出现一次

1
_path=="ssl"

image-20230409112241697

答案

只出现一次的 SSL 证书颁发者的名称是Cybertrust

0x03_17 当前PE文件编译时启用的两种保护方式是什么?格式:按字母顺序逗号分隔

解题

将0x03_10题目中导出的pe文件放入pev的安装目录中去

image-20230409112230858

在这个目录下打开cmd输入以下命令,可以发现两个保护机制是yes

1
.\pesec.exe .\extract-1416704329.292659-HTTP-F3Y0AS35Og90cuDZH3.raw

image-20230409112221094

答案

当前PE文件编译时启用的两种保护方式是DEP和SEH。