malware traffic exercise3

실습

malware traffic exercise 세번째 예제다. 파일이름은 2016-10-15였다.

목표는 시나리오 상 주인공은 ransomware 공격에 당했다. 어디서부터 이 공격이 시작됐는지 알아보자.

tcp replay 전에 SGUIL을 켜 놓자

 

 

networkminer에서도 로딩

 

 

xplico에서도 session 연결

 

 

tcp replay가 끝나는데 38분이 넘게 걸렸다 ㅎㅎ

 

 

SGUIL 검사 결과 redirector, leading to EK, EK landing, exploit, payload와 같이 공격순서를 알 수 있었다

 

 

networkminer에서 피해자 정보 확인

 

 

networkminer에서 최초 접속 사이트 주소 확인

 

 

networkminer에서 redirect 된 ip 주소를 통해 사이트 주소 확인

 

 

종합하면

 

피해자 : 10.14.106.192

최초 접속 페이지 : 50.56.223.21[unwrappedphotos.com]

redirect 된 페이지 : 109.234.36.251[rew.kaghaan.com]

 

임을 알 수 있다.

 

 

xplico에서 최초 접속 사이트 검색 후 html 파일 다운로드

 

 

gedit으로 열고 iframe 검색하면 redirect 된 주소 확인 가능

 

 

마찬가지로 xplico에서 rew.kaghaan.com 검색 후 다운 받은 파일의 body만 virustotal에서 검색해보자

trojan 확인 가능

 

 

trojan.flash 확인 가능

 

 

networkminer에서도 원본 파일 확인 가능