malware traffic exercise5

실습

malware traffic 2017-03-13을 실습했다. 간단한 시나리오는 2017-03-13 폴더 안에 Kovter-Locky-malspan.eml 이메일에서 UPS-Label-03667517.zip을 다운받도록 유도하고 있다. 감염 경로를 알아내고 트로잔 파일을 찾아보자.

tcp replay 실시

 

 

11분이 넘게 재생이 됐다

 

 

SGUIL 확인

 

피해자 정보

 

 

director 정보 / TTL이 128이므로 windows일 가능성이 높다

 

 

공격 사이트 정보 / TTL이 128이므로 windows일 가능성이 높다

 

 

결과를 종합하면 다음과 같다.

피해자 : 10.3.13.101

server : 50.62.238.1 [bv.truecompassdesigns.net]

landing page : 173.201.141.128 [doctors.live]

CnC : 77.73.66.227

 

landing page : 이용자가 검색 엔진, 광고, 등을 경유하여 최초로 접속하는 웹페이지

 

 

xplico를 이용해 landing page에서 받은 것으로 예상되는 악성파일을 다운받아 보자

 

 

첫번째 파일 trojan으로 확인

 

 

두번째 파일 trojan으로 확인