Selamlar bugün "cyberdefenders.org" üzerinden "Phishy" adlı challange'ı inceleyip çözümünü gerçekleştireceğiz.
Senaryo:
Bir şirketin çalışanı sahte bir iPhone çekilişine katıldı. Ekibimiz, daha fazla analiz için çalışanın sisteminin bir disk görüntüsünü aldı. Bir güvenlik analisti olarak, sistemin güvenliğinin nasıl ihlal edildiğini belirleme göreviniz var.
Soru 1.) What is the hostname of the victim machine?
Kurban makinenin ana bilgisayar adı nedir?
Çözüm 1.) AccessData Registry Viwer kurularak system registry indirelim.
Cevap : WIN-NF3JQEU4G0T
Soru 2.) What is the messaging app installed on the victim machine?
Kurban makinesinde yüklü olan mesajlaşma uygulaması nedir?
Cevap : Whatsapp
Soru 3.) The attacker tricked the victim into downloading a malicious document. Provide the full download URL.
Saldırgan, kurbanı kötü amaçlı bir belge indirmesi için kandırdı. Tam indirme URL'sini sağlayın.
Cevap : http://appIe.com/IPhone-Winners.doc
Saldırgan, kurbanı kötü amaçlı bir belge indirmesi için kandırdı. Tam indirme URL'sini sağlayın.
Cevap : http://appIe.com/IPhone-Winners.doc
Soru 4.) Multiple streams contain macros in the document. Provide the number of the highest stream.
Birden çok akış, belgede makrolar içerir. En yüksek akışın numarasını sağlayın.
Çözüm 4.) FTK İmager ile dosyayı dışa aktarıp oledump ile en büyük akışkanı buluyoruz.
Cevap : 10
Birden çok akış, belgede makrolar içerir. En yüksek akışın numarasını sağlayın.
Çözüm 4.) FTK İmager ile dosyayı dışa aktarıp oledump ile en büyük akışkanı buluyoruz.
Cevap : 10
Soru 5.) The macro executed a program. Provide the program name?
Makro bir programı yürüttü. Programın adını belirtin?
Cevap : powershell
Makro bir programı yürüttü. Programın adını belirtin?
Cevap : powershell
Soru 6.) Makro kötü amaçlı bir dosya indirdi. Tam indirme URL'sini sağlayın.
The macro downloaded a malicious file. Provide the full download URL.
Cevap : http://appIe.com/Iphone.exe
The macro downloaded a malicious file. Provide the full download URL.
Cevap : http://appIe.com/Iphone.exe
Soru 7.) Where was the malicious file downloaded to? (Provide the full path)
Kötü amaçlı dosya nereye indirildi? (Tam yolu sağlayın)
Cevap : C:\Temp\IPhone.exe
Kötü amaçlı dosya nereye indirildi? (Tam yolu sağlayın)
Cevap : C:\Temp\IPhone.exe
Soru 8.) What is the name of the framework used to create the malware?
Kötü amaçlı yazılımı oluşturmak için kullanılan çerçevenin adı nedir?
Cevap : Metasploit
Kötü amaçlı yazılımı oluşturmak için kullanılan çerçevenin adı nedir?
Cevap : Metasploit
Soru 10.) The fake giveaway used a login page to collect user information. Provide the full URL of the login page?
Sahte hediye, kullanıcı bilgilerini toplamak için bir giriş sayfası kullandı. Giriş sayfasının tam URL'sini sağlayın?
Cevap : http://appIe.competitions.com/login.php
Sahte hediye, kullanıcı bilgilerini toplamak için bir giriş sayfası kullandı. Giriş sayfasının tam URL'sini sağlayın?
Cevap : http://appIe.competitions.com/login.php
Soru 11.) What is the password the user submitted to the login page?
Kullanıcının giriş sayfasına gönderdiği şifre nedir?
Cevap : GacsriicUZMY4xiAF4yl
Kullanıcının giriş sayfasına gönderdiği şifre nedir?
Cevap : GacsriicUZMY4xiAF4yl