Cyberdefenders蓝队-恶意软件流量分析6

1、题目简介

1.1 背景介绍

您是一家名为A Bridge Too Far Enterprises的加拿大公司的分析师。在星期五 2015-09-11，您在公司的安全运营中心 （SOC） 工作时会看到以下警报：

您的 IDS 设备一直存在一些问题，因此在此期间可能会有来自网络的其他警报。你只是没有看到它们。警报出现后不久，您的技术支持人员就会接到某人抱怨勒索软件感染的电话。来电者是格雷戈里·弗兰克利翁（发音为“弗兰克狮子”）。

您的一位应急专家正在检查格雷戈里受感染的Windows计算机。结果呢？Greggory的计算机被CryptoWall 3.0感染了两次。两次感染发生在几分钟内。取证人员从受感染的主机中恢复了两个CryptoWall 3.0恶意软件样本。

您可以检索适当时间范围内的流量上限。另一位分析师搜索了该公司的邮件服务器，并检索到了格雷戈里当天早些时候收到的四封恶意电子邮件。他们以某种方式通过了垃圾邮件过滤器。

1.2 题目链接

https://cyberdefenders.org/blueteam-ctf-challenges/59#nav-questions

2、题目解析

2.1 c42-MTA6-1022-UTC:附件文件名是什么？

使用Foxmail导入邮件，并查看邮件附件压缩包内容为Homicide-case#9347728.zip

2.2 c42-MTA6-1022-UTC:附件包含恶意软件。恶意软件何时首次提交给 virustotal？

上传文件附件到VT，查看文件详情可以看到提交时间

2.3 c42-MTA6-1022-UTC:恶意软件正在与多个外部服务器通信。提供恶意软件联系的唯一URL 的数量？（VT是你的朋友）

查看连接的URL是50个，由于文件比较旧，题目出的时候只有48个

2.4 c42-MTA6-1022-UTC:提供恶意软件联系的 FQDN？

查看DNS请求信息，获取到的地址为icanhazip.com

2.5 c42-MTA6-1422-UTC:恶意文档的创建时间是什么时候？

使用Foxmail导入邮件，并提取出文件附件

上传文件附件到VT上进行查杀，查看文件创建时间

2.6 c42-MTA6-1422-UTC:哪个流包含宏？（提供流编号）

使用oledump进行查看，发现在编号3中发现包含宏

 python3 oledump.py Patricia_Daniel_resume.doc

2.7 c42-MTA6-1422-UTC:隐藏实际 VBA 代码的技术是什么？

通过谷歌进行搜索，发现提示为VBA Stomping

2.8 c42-MTA6-1422-UTC:可执行恶意软件的 sha256 哈希是多少

根据文件中提供的2个EXE执行程序，进行VT上传查看SHA256值