题目地址:malware-traffic-analysis-October-2021-Forensic-Contest
https://isc.sans.edu/diary/October+2021+Contest+Forensic+Challenge/27960任务信息
#原文This month's challenge is based on a packet capture (pcap) of an Active Directory (AD) environment with three Windows clients that become infected.Each infection is based on an email, and the three emails that caused these infections are also provided.Your task? Match each email to its infected Windows client.#翻译本月的挑战基于 Active Directory (AD) 环境的数据包捕获 (pcap),其中三个 Windows 客户端被感染。每个感染都基于一封电子邮件,并且还提供了导致这些感染的三封电子邮件。你的任务是将每封电子邮件与其受感染的 Windows 客户端匹配。
根据附件信息下载查看,如下图所示
接下来的任务就是寻找主机跟这三个恶意邮件的关系。
开始解题
首先过滤数据包中HTTP流量
http根据Wireshark的源IP字段定位到受害主机大致为
1、10.10.22.1562、10.10.22.1573、10.10.22.158
过滤地址为10.10.22.156的http流量
ip.addr==10.10.22.156 and http把该附件导出进行检测
使用VT检测后发现
发现为恶意文,查找该主机对应的hostanme以及用户名
ip.addr==10.10.22.156 and kerberos.CNameStringip.addr==10.10.22.156 and samr用户名为agnes.warren,对应邮件2021-10-21-malicious-email-1739-UTC
接下来寻找第二封主机邮件对应关系,过滤10.10.22.157的http流量
ip.addr==10.10.22.157 and http看不出有用信息,查看10.10.22.157的dns流量
ip.addr==10.10.22.157 and dns有关于动态dns流量,还不少,估计是用于C2通信,查看该主机的hostname以及用户名
ip.addr==10.10.22.157 and kerberos.CNameStringip.addr==10.10.22.157 and samr用户名为marcus.cobb,对应邮件2021-10-21-malicious-email-1102-UTC
接下来寻找第三封主机邮件对应关系,过滤10.10.22.158的http流量
ip.addr==10.10.22.158 and http跟踪该TCP数据流
发现下载了DLL,导出该DLL并进行检测
发现是恶意文件,查看该主机hostname以及用户名
ip.addr==10.10.22.158 and kerberos.CNameStringip.addr==10.10.22.158 and samr用户名为kevin.henderson,对应邮件为2021-10-21-malicious-email-2214-UTC
综上所述
主机10.10.22.156用户名agnes.warren,对应邮件2021-10-21-malicious-email-1739-UTC
主机10.10.22.157用户名为marcus.cobb对应恶意邮件2021-10-21-malicious-email-1102-UTC
主机10.10.22.158用户名为kevin.henderson,对应邮件为2021-10-21-malicious-email-2214-UTC
如有侵权请联系:admin#unsafe.sh