# HawkEye Lab - CyberDefenders > An accountant at your organization received an email regarding an invoice with a download link. Suspicious network traffic was observed shortly after opening the email. As a SOC analyst, investigate the network trace and analyze exfiltration attempts. Chúng ta được cho 1 file pcap và cần trả lời 24 câu hỏi. Giờ ta sẽ mở file pcap bằng wireshark và trả lời lần lượt các câu hỏi. ## Question 1 > Q1: How many packets does the capture have?  Chúng ta nhìn về phía dưới góc phải ta có thể thấy được số packets **Answer: 4003** ## Question 2 > Q2: At what time was the first packet captured?  Chúng ta thực hiện như trên để điều chỉnh hiện thị thời gian theo ngày - giờ quốc tế  **Answer: 2019-04-10 20:37:07 UTC** ## Question 3 > Q3: What is the duration of the capture?  Vào **Capture File Properties** để xem thông tin cơ bản của file pcap  Ta thấy được thời gian đầu cuối và khoảng thời gian thực hiện **Answer: 01:03:41** ## Question 4 > Q4: What is the most active computer at the link level?   Vào **Endpoints** rồi chỉnh sang **Ethernet** để xem thông tin các thiết bị hoạt động ở tầng liên kết. Ta thấy **00:08:02:1c:47:ae** có số packet và Bytes cao, vì thế đó là máy hoạt động tích cực nhất **Answer: 00:08:02:1c:47:ae** ## Question 5 > Q5: Manufacturer of the NIC of the most active system at the link level? Chúng ta sẽ sử dụng link sau để xem thông tin về nhà sản xuất của địa chỉ MAC vừa được tìm thấy ở trên. https://www.macvendorlookup.com/  **Answer: Hewlett-Packard** ## Question 6 > Q6: Where is the headquarter of the company that manufactured the NIC of the most active computer at the link level? Tra trên google thì ta biết được trụ sở chính ở đâu.  **Answer: Palo Alto** ## Question 7 > Q7: The organization works with private addressing and netmask /24. How many computers in the organization are involved in the capture?  Có vẻ địa chỉ riêng của tổ chức là 10.4.10 và phần sau là netmask /24. Có tất cả 4 địa chỉ IP nhưng .255 là địa chỉ để gửi gói tin đến tất cả các thiết bị trong mạng nên loại. **Answer: 3** ## Question 8 >What is the name of the most active computer at the network level?  Ta biết địa chỉ 10.4.10.132 là địa chỉ hoạt động nhiều nhất, ta lọc theo **dns** thì thấy được tên của máy tính. **Answer: Beijing-5cd1-PC** ## Question 9 > What is the IP of the organization's DNS server?  Lọc theo **dns** **Answer: 10.4.10.4** ## Question 10 > What domain is the victim asking about in packet 204?  Check packet 204, vào Queries **Answer: proforma-invoices.com** ## Question 11 >What is the IP of the domain in the previous question? Gói 206 là gói response của 204, vào queries -> Answer  **Answer: 217.182.138.150** ## Question 12 >Indicate the country to which the IP in the previous section belongs. Ta lên trang web này để tra cứu https://checkip.com.vn/locator?host=217.182.138.150  **Answer: France** ## Question 13 >What operating system does the victim's computer run?  Thông tin nằm ở header của các gói tin TCP **Answer: Windows NT 6.1** ## Question 14 >What is the name of the malicious file downloaded by the accountant?  Ở gói tin 210 cho thấy nạn nhân đã tải tệp độc hại **Answer: tkraw_Protected99.exe** ## Question 15 >What is the md5 hash of the downloaded file? Lên cyberchef và encode file độc hại thành MD5  **Answer: 71826ba081e303866ce2a2534491a2f7** ## Question 16 >What software runs the webserver that hosts the malware? Thông tin ở phần header của gói tin GET.  **Answer: LiteSpeed** ## Question 17 >What is the public IP of the victim's computer? Ở gói tin 3166 có địa chỉ IP cần tìm.  **Answer: 173.66.146.112** ## Question 18 >In which country is the email server to which the stolen information is sent?  Tra cứu địa chỉ IP trên ta có được đáp án **Answer: United States** ## Question 19 >Analyzing the first extraction of information. What software runs the email server to which the stolen data is sent?   Follow vào gói tin trên ta biết được đây là gói tin ghi lại giao tiếp bằng email và có cả thông tin về phần mềm chạy máy chủ. **Answer: Exim 4.91** ## Question 20 > To which email account is the stolen information sent? Trong ảnh trên đã có đáp án. **Answer: sales.del@macwinlogistics.in** ## Question 21 >What is the password used by the malware to send the email?  Trong ảnh trên có những mã base64, sau khi decode nó thì nó đang thực hiện đăng nhập  **Answer: Sales@23** ## Question 22 >Which malware variant exfiltrated the data?  Ta thấy có mã base64 ở header giữa cuộc giao tiếp, có thể nó chứa thông tin tổng quát  **Answer: Reborn v9** ## Question 23 >What are the bankofamerica access credentials? (username:password) Qua thông tin được giao tiếp bên dưới có mã base64 dài, ta decode nó thì có được đáp án.  **Answer: roman.mcguire:P@ssw0rd$** ## Question 24 >Every how many minutes does the collected data get exfiltrated?  Cứ mỗi 10 phút thì sẽ rò rỉ 1 lần **Answer: 10**