- 24 Mar 2022
- 84
- 39
Selamlar bugün "cyberdefenders.org" üzerinden "Maldoc101" adlı inceleyip çözümünü gerçekleştireceğiz.
Senaryo;
Tehdit aktörlerinin, saldırılarını ilerletmek ve makro koddan geçiş yapmak için PowerShell'in yürütülmesi gibi arazide yaşama (LOTL) tekniklerini kullanması yaygındır. Bu zorluk, önemli IOC'leri çıkarmak için çoğu zaman nasıl hızlı analiz yapabileceğinizi göstermeyi amaçlamaktadır. Bu alıştırmanın odak noktası, analiz için statik tekniklerdir.
Kullanılan Araçlar : Oletools
Soru 1.) Multiple streams contain macros in this document. Provide the number of highest one.
Bu belgede birden çok akış makro içerir. En yüksek sayıyı belirtin.
Çözüm 1.) Kod : python2 oledump.py sample.bin
Cevap : 16
Soru 2.) What event is used to begin the execution of the macros?
Makroların yürütülmesini başlatmak için hangi olay kullanılır?
Çözüm 2.) Kod : python2 olevba.py sample.bin
Cevap : Document_open
Soru 3.) What malware family was this maldoc attempting to drop?
Bu maldoc hangi kötü amaçlı yazılım ailesini düşürmeye çalışıyordu?
Çözüm 3.) Virüstotal sitesinde dosyamızı taratıyoruz.
Cevap : Emotet
Soru 4.) What stream is responsible for the storage of the base64-encoded string?
Base64 kodlu dizenin depolanmasından hangi akış sorumludur?
Çözüm 4.) Kod: python2 oledump.py sample.bin
python2 olevba.py sample.bin
Cevap : Dosyayı tekrar gözden geçiriyoruz ve burdaki en büyük bölüm olan 34’tür. Oledump çıktısı görseline soru 1 görselinden bakabilirsiniz.
Soru 5.) This document contains a user-form. Provide the name?
Bu belge bir kullanıcı formu içermektedir. İsim ver?
Çözüm 5.) Kod: oledir sample.bin
Cevap: roubhaol
Soru 6.) This document contains an obfuscated base64 encoded string; what value is used to pad (or obfuscate) this string?
Bu belge, karmaşık bir base64 kodlu dize içerir; bu dizeyi doldurmak (veya gizlemek) için hangi değer kullanılır?
Çözüm 6.) python2 oledump.py -s 15 --vbadecompresscorrupt sample.bin
Cevap : 2342772g3&*gs7712ffvs626fq
Sonuçtan kodları kopyalayıp text editöre yapıştırıyoruz.
Soru 7.) What is the program executed by the base64 encoded string?
Base64 kodlu dize tarafından yürütülen program nedir?
Çözüm 7.) Kod: python2 oledump.py -s 34 -d sample.bin
Çıktıyı kopyalayarak cyber chief’e yapıştırıyoruz.
6. sorunun cevabınıiçinde aratıyoruz.
Cevap : Powershell
Soru 8.) What WMI class is used to create the process to launch the trojan?
Truva atını başlatma sürecini oluşturmak için hangi WMI sınıfı kullanılır?
Çözüm 8.) Kodlarımızı çözerek cevaba ulaşıyoruz.
Cevap 8 : win32_process
Soru 9.) Multiple domains were contacted to download a trojan. Provide first FQDN as per the provided hint.
Truva atı indirmek için birden fazla alanla bağlantı kuruldu. Sağlanan ipucuna göre ilk FQDN'yi sağlayın.
Çözüm 9.) 8. Soru görselinde bağlantımız gözükmektedir.
Cevap 9: haoqunkong.com
Okuyan ve beğenen herkese teşekkür ederim, diğer konularda görüşmek üzere.
@Kızıl_Kelebek && @levidomates