Cyberdefenders - Red Stealer Lab
문제파일을 압축을 풀면 파일해시가 있고 내용을 살펴 보면 안에
해시를 바이러스 토탈, 하이브리드 어날리시스에 넣어서 문제를 풀으라고 한다.
바이러스토탈에 해시값을 넣어보면 마이크로소프트는 트로이 목마로 분류해놓은것을 확인할수가있다.
답 : Trojan
답 : WEXTRACT
세부 사항으로 들어가서 보면 History에 First Submission 부분을 체크하면 된다.
답 : 2023-10-06 04:41
행동 항목을 확인해보면 MITRE ATT&CK Tatics를 확인할수있다.
우리가 확인해야할 사항은 데이터 유출하기전에 수집하는 기법ID를 찾는것이다.
수집이므로 Collection에서 Data from Local System -> 로컬시스템에서 데이터 수집 이 항목이 되겠다.
답 : T1005
Relations 탭에서 Contacted Domains 항목을 확인해보면된다.
소셜 미디어라고했으니 목록중에선 facebook 이있다
답 : facebook.com
Behavior 탭에서 IP Traffic항목에보면 제일 위에 77.91.124.55:19071이 악성 IP인것을 확인가능하다
답 : 77.91.124.55:19071
번역이 조금 이상하게 되었지만, MalwareBazaar라는 사이트에서 varo0s라는 사람이 만든 YARA 규칙의 이름을 찾으면 된다.
https://bazaar.abuse.ch/browse/
MalwareBazaar | Checking your browser
NEW | Hunt across all abuse.ch platforms with one simple query - discover if an IPv4 address, domain, URL or file hash has been identified on any platform from a centralized search tool. Test it out here hunting.abuse.ch - and happy hunting 🔍
bazaar.abuse.ch
이 사이트를 들어가서
이런 형식으로 검색을 하면
데이터베이스에서 데이터 검색이 가능하다, 지금하고있는 악성코드는 팀뷰어 프로그램의 백도어로 작동하는 악성코드인거같다.
눌러서 YARA부분을 확인해보면
Varp0s라는사람이 만든 Rule name 을 확인할수있다.
답 : detect_Redline_Stealer
ThreatFox | Share Indicators Of Compromise (IOCs)
NEW | Hunt across all abuse.ch platforms with one simple query - discover if an IPv4 address, domain, URL or file hash has been identified on any platform from a centralized search tool. Test it out here hunting.abuse.ch - and happy hunting 🔍
threatfox.abuse.ch
이 사이트에 들어가서 악성 IP주소를 넣어보면 별칭을 제공해준다
정해진 형식에 맞춰서 검색을해주면
데이터 한개가 나온다 눌러보면
멀웨어 별칭을 확인할수가 있다.
답 : RECORDSTEALER
바이러스 토탈에 Details탭에서 Imports 항목을보면 dll들을 볼수가 있는데 권한상승에 사용되는 dll은 AdjustTokenPrivileges 가있는 dll이 답이다.
답 : ADVAPI32.dll