Puzzle #5: Ms. Moneymany’s Mysterious Malware ============================================= # Nội dung Một buổi sáng, cô Moneymany nhấp một ngụm cà phê khi lướt nhanh qua email được gửi đến trong đêm. Một trong những thư đã lọt vào mắt xanh của cô ấy, vì rõ ràng đó là thư rác mà bằng cách nào đó đã vượt qua được bộ lọc email. Thư này tiếp thị mua thuốc trên web và chứa một liên kết đến hiệu thuốc trực tuyến. "Mọi người có thực sự tin những thứ này không?" Bà Moneymany nghĩ. Cô tò mò muốn biết trang web sẽ thuyết phục khách truy cập mua hàng như thế nào, vì vậy cô đã nhấp vào liên kết. Trang web tải chậm và có vẻ như đã bị hỏng. Không có nội dung trên trang. Thất vọng, cô Moneymany đóng cửa sổ trình duyệt và tiếp tục một ngày của mình. Cô ấy không nhận ra rằng máy tính Windows XP của mình vừa bị nhiễm virus. Bạn là nhà điều tra pháp y. Bạn có tệp chụp mạng (PCAP) ghi lại các tương tác của cô Moneymany với trang web. Nhiệm vụ của bạn là hiểu điều gì có thể đã xảy ra với hệ thống của cô Moneymany sau khi cô ấy nhấp vào liên kết. Phân tích của bạn sẽ bắt đầu với tệp PCAP và sẽ tiết lộ tệp thực thi độc hại. # Xác định phạm vi tìm kiếm Qua bối cảnh của đề bài, cô Moneymany đã bị nhiễm mã độc từ trang web, phạm vi tìm kiếm sẽ tập trung vào lưu lượng HTTP mà cô đã truy cập, thông qua các phương thức GET, các thông tin địa chỉ IP liên quan và các tệp đã được tải xuống, ta sẽ theo đó xác định được câu trả lời cho các câu hỏi của đề bài. # Thực hiện trích xuất, phân tích dữ liệu, trả lời câu hỏi ## Câu 1 1\. Là một phần của quá trình lây nhiễm, trình duyệt của cô Moneymany đã tải xuống hai ứng dụng Java. Tên của hai tệp .jar đã triển khai các ứng dụng này là gì? Trong phân tích lưu lượng mạng, các yêu cầu **GET** và **POST** là các phương thức HTTP được trình duyệt sử dụng để tương tác với các trang web. Khi phân tích một tệp PCAP, việc xác định các yêu cầu này giúp truy vết các URL mà trình duyệt đã truy cập và dữ liệu nào đã được gửi hoặc nhận. ``` http.request.uri contains ".jar" ```  Request URI: /q.jar Request URI: /sdfg.jar  ## Câu 2 2\. Tên người dùng của Ms. Moneymany trên hệ thống Windows bị nhiễm là gì? ``` http.request.method contains "GET" ```  ``` Request URI: /11111/gate.php?guid=ADMINISTRATOR!TICKLABS-LZ!1C7AE7C1&ver=10084&stat=ONLINE&ie=8.0.6001.18702&os=5.1.2600&ut=Admin&cpu=92&ccrc=5A4F4DF7&md5=5942ba36cf732097479c51986eee91ed ``` ## Câu 3 3\. URL bắt đầu của sự cố này là gì? Nói cách khác, cô Moneymany có thể đã nhấp vào URL nào? http[.]//nrtjo[.]eu/true[.]php ## Câu 4 4\. Là một phần của sự lây nhiễm, một tệp thực thi Windows độc hại đã được tải xuống hệ thống của Ms. Moneymany. Hàm băm MD5 của tệp là gì? Gợi ý: Nó kết thúc vào "91ed".   ## Câu 5 5\. Tên của trình đóng gói được sử dụng để bảo vệ tệp thực thi Windows độc hại là gì? Gợi ý: Đây là một trong những trình đóng gói miễn phí phổ biến nhất được thấy trong phần mềm độc hại “chính thống”. Up file mã độc lên Virustotal phân tích, ta thấy trình đóng gói được sử dụng là UPX.    => UPX(Ultimate Packer for Executables) ## Câu 6 6\. Hàm băm MD5 của phiên bản giải nén của tệp thực thi Windows độc hại là gì? Unpack mã độc bằng cách sử dụng upx -d: ``` upx -d loading.php%3fspl\=javad0 ```  Sau đó check lại md5 của nó: ``` md5sum loading.php%3fspl\=javad0 ```  => 0f37839f48f7fc77e6d50e14657fb96e ## Câu 7 7\. Các tệp thực thi độc hại cố gắng kết nối với máy chủ Internet bằng địa chỉ IP được mã hóa cứng trong đó (không có tra cứu DNS). Địa chỉ IP của máy chủ Internet đó là gì? Các địa chỉ IP ngoài internet mà máy cô Moneymany đã kết nối tới là:  Và địa chỉ IP không có tra cứu DNS(hiển thị other) là 213.155.29.144  => 213.155.29.144