Carnage
TASK 2
Lo primero que nos piden es la fecha en la que se envio el primer paquete a la ip maliciosa. Nos dicen que es http asi que filtramos por ella:
Y vemos como el primer trafico http que vemos es un get descargandose un zip asi que suponemos que la ip del atacante es la 85.187.128.24 asi que ahi tenemos la fecha.
El siguiente ejercicio nos pide el nombre del fichero zip , asi que desplazando la barra lo vemos:
Para el siguiente ejercicio nos pide el nombre del dominio desde donde descargo el zip , para esto simplemente hacemos un follow tcp stream al mismo paquete:
Y vemos como el dominio es attirenepal.com
Para el siguiente ejercicio vamos averiguar el archivo dentro del zip:
Para esto simplemente miramos en el paquete donde se descargo el zip y hacemos follow tcp stream y vemos como contenia un archivo xls.
Aqui nos preguntan por el nombre del servidor , en el mismo paquete vemos esto en el campo server:
Luego nos piden la version del servidor y poco podemos ver un poco mas arriba es php/7.2.34.
A continuacion debemos averiguar los 3 dominios desde los cuales se descargaron archivos maliciosos.Para ello debemos utilizar el siguiente filtro:
Como ya sabemos que estamos buscando https , necesitamos trafico donde se haga un tls.handshake que seria el saludo en este tipo de trafico por eso ==1 ya que solo salen los positivos y el resto del filtro es simplemente para filtrar en el rango de tiempo :
Aqui vamos viendo las diferentes flags(dominios):
Lo siguiente a encontrar es la entidad certificadora del primer dominio , si hacemos un follow tcp stream vemos esto:
Y vemos que es godaddy.
A continuacion nos piden las dos direcciones ip de los servidores de cobalt strike 2.Para ello podemos buscar informacion aqui:
Cobalt strike es un software para red team para hacer simulaciones de ataques.
Bicheando un poco la web de informacion nos dice esto , es decir que realiza peticiones GET y POST. Vamos a filtrar en nuestro pcap por peticiones GET:
Una vez tengamos las peticiones GET , THM nos da la pista de que miremos en Statistic> Conversations
Una vez estamos aqui ya solo faltria buscar en el community de virustotal a ver si nos dicen ips de servidores de cobalt strike:
Esta ip nos parece sospechosa ya que se hace bastante trafico en ella y ademas en un puerto extrano , si lo comprobamos en virustotal:
Parece que ya tenemos una.Y tras buscar un poco encontramos la segunda:
A continuacion nos piden el host de la primera ip maliciosa de cobalt strike, hacemos un filtro por su ip.addr y hacemos un follow> tcp stream:
Y vemos que es oscp.verisign.com.
Luego nos piden el nombre del dominio , y que checkeemos en virustotal:
Y vemos que es survmeter.live
Para la segunda ip su dominio es:
Para el siguiente apartado nos piden que encontremos el dominio del trafico de injeccion sql asi que vamos a filtrar por metodo post:
Y en el primer paquete vemos el siguiente dominio:
Ahora nos pide los primeros 11 digitos que se mando al dominio malicioso:
Como podemos ver seria zLIisQRWZI9 , ademas vemos el length del primer paquete que es 281 , ya que esta seria la siguiente pregunta.
Para saber el server header simplemente hacemos follow > tcp stream y vemos:
Luego nos pide la fecha en la que el malware hizo una consulta dns a traves de una api , para ello utilizaremos el siguiente filtro:
Este filtro separa en el pcap las peticiones dns y luego dentro que contenga la palabra api.
Y luego vemos como el primer paquete donde se hace la peticion a una api extraña seria el 24147 asi que tendremos que poner que la respuesta es la fecha y la hora de ese paquete ya que es el que inicia la conexion.
Luego nos piden el dominio de ese paquete , hacemos follow > udp stream:
Luego nos piden el email del primer MAIL FROM que recibimos , si filtramos por frame contains "MAIL FROM" :
Por ultimo nos piden los paketes mostrados en el smtp , si filtramos por este protocolo :
Vemos como son 1439
Last updated