본문 바로가기

웹/Network forensics

Puzzle #5: Ms. Moneymany's Mysterious Malware


Moneymany의 브라우저가 다운로드한 .jar파일 2개는?


filter : http


정답 : q.jar, sdfg.jar


감염된 windows 시스템에서 Moneymany의 사용자이름은?



정답 : ADMINISTRATOR


Moneymany가 처음 클릭한 URL?


맨 처음 http통신을 클릭해보면



정답 : /nrtjo.eu/true.php



Moneymany의 시스템을 감염시키는 Winodws 실행파일의 MD5해시는?

힌트: "91ed"로 끝남



filter : Packet details - String - .exe


보낸 파일의 내용을 보면

실행 파일의 매직 넘버인 "MZ"가 보인다.


hxd로 열어 "MZ"앞에 내용을 잘라버린 뒤 .exe확장자로 저장


해시 값 확인하면


정답 : 5942ba36cf732097479c51986eee91ed


악의적인 Windows실행파일을 보호하는 데 사용되는 패커의 이름

힌트 : 가장 인기있는 패커 이름



정답 : UPX


압축되지 않은 Windows실행 파일의 MD5해시는?


UPX로 패킹되어 있는 파일을 언패킹한다.




정답 : 0f37839f48f7fc77e6d50e14657fb96e



악성 실행 파일이 하드코딩된 IP주소 사용해 인터넷 호스트에 연결하려 한다.(DNS조회 없었음)

해당 인터넷 호스트의 IP주소는?



 통신에 쓰인 IP주소는 총 6개



filter: dns

이 중 Moneymany의 호스트인 192.168.23.129 제외하고 dns조회를 하지 않은 IP주소 : 213.155.29.144

192.168.23.2는 dns서버


정답 : 213.155.29.144

 








' > Network forensics' 카테고리의 다른 글

Puzzle #6: Ann's Aurora  (0) 2018.11.11
Puzzle #1: Ann's Bad AIM  (0) 2018.11.10