Moneymany의 브라우저가 다운로드한 .jar파일 2개는?
filter : http
정답 : q.jar, sdfg.jar
감염된 windows 시스템에서 Moneymany의 사용자이름은?
정답 : ADMINISTRATOR
Moneymany가 처음 클릭한 URL?
맨 처음 http통신을 클릭해보면
정답 : /nrtjo.eu/true.php
Moneymany의 시스템을 감염시키는 Winodws 실행파일의 MD5해시는?
힌트: "91ed"로 끝남
filter : Packet details - String - .exe
보낸 파일의 내용을 보면
실행 파일의 매직 넘버인 "MZ"가 보인다.
hxd로 열어 "MZ"앞에 내용을 잘라버린 뒤 .exe확장자로 저장
해시 값 확인하면
정답 : 5942ba36cf732097479c51986eee91ed
악의적인 Windows실행파일을 보호하는 데 사용되는 패커의 이름
힌트 : 가장 인기있는 패커 이름
정답 : UPX
압축되지 않은 Windows실행 파일의 MD5해시는?
UPX로 패킹되어 있는 파일을 언패킹한다.
정답 : 0f37839f48f7fc77e6d50e14657fb96e
악성 실행 파일이 하드코딩된 IP주소 사용해 인터넷 호스트에 연결하려 한다.(DNS조회 없었음)
해당 인터넷 호스트의 IP주소는?
통신에 쓰인 IP주소는 총 6개
filter: dns
이 중 Moneymany의 호스트인 192.168.23.129 제외하고 dns조회를 하지 않은 IP주소 : 213.155.29.144
192.168.23.2는 dns서버
정답 : 213.155.29.144
'웹 > Network forensics' 카테고리의 다른 글
| Puzzle #6: Ann's Aurora (0) | 2018.11.11 |
|---|---|
| Puzzle #1: Ann's Bad AIM (0) | 2018.11.10 |
