Selamlar, bugün "CyberDefenders: Blue Team CTF Challenges" sitesi üzerinde bulunan "Malware Traffic Analysis 2" adlı labın ağ trafiğini inceleyip, çözümünü gerçekleştireceğiz.
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Not Kullanılan Programlar:
Brim(İndirmek İçin; Brim)
NetworkMiner(İndirmek İçin; NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏)
Wireshark(İndirmek İçin; Wireshark · Go Deep.)
İlk sorumuzda görüldüğü üzere virüs bulaşan windows makinenin IP adresini sormuş. Burada "apackets.com" adlı istemize gidelim ve upload kısmından view report diyerek ile pcap dosyamızı içerisine tanıtalım ve network sekmesine gelelim. Ve yeşilli olanı veri sekmeleri içerisinden biraz dışarı itiyorum. Görüldüğü üzere cevabımız:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
İkinci sorumuzda virüs bulaşan windows makinenin ise MAC adresini soruyor. Networkminer programını açalım ve pcap dosyamızı içine sürükleyelim.
Arama kısmına ip.src==172.16.165.132 or ip.dst==172.16.165.132 yazıyorum ve İnfo sekmesinde Standart Query yazmasına dikkat ediyorum. Destination kısmına tıkladım Ethernet II kısmına tıkladım ve cevabımız aşağıdadır.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Üçüncü sorumuzda zararlı yazılımın IP adresini ve port bağlantısı sormuş. Brim adlı uygulamamızı açıyoruz ve pcap dosyamızı içerisine sürüklüyoruz. Arama kısmına files yazıyoruz daha sonra gelen sonuç tablosu içerisinde application/x-dosexec ibaresini arıyoruz. İbarenin karşılığının 37.143.15.180 IP adresini barındırdığını görüyorum hemen Wireshark programına geri dönüp arama kısmına şu ibareyi yazıyorum; "ip.src==37.143.15.180" Az aşağıda Transmission Control Protocol yani TCP ifadesini ve karşısında ise Src Port ibaresini görüyorum. IP adresim: 37.143.15.180 Portum: 51439
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Dördüncü sorumuzda windows makineye zararlı dosya bulaşan IP adresinin host ismlerini sormuş. Networkminer programımızı açalım ve pcap dosyamızı içerisine yansıtalım. Yansıttıktan sonra bir üst soruda bulmuş olduğumuz IP adresimizi arayıp bulalım ve hostlarımız karşımızda.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Beşinci sorumuzda bizden virüs bulaşan windows makinenin hangi IP adresi üzerinden zararlı bir dosya bulaştığını söylememizi istemiş. Hemen "networkminer" aracımızda bulunan sessions adlı bölüme gelerek yapılan oturumları, IP adreslerini görebiliriz cevabımızı da öyle
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Altıncı sorumuzda bizden windows makineye zararlı dosya bulaşan IP adresinin host ismini sormuş. Biraz önce host IP adresini bulmuştuk. Aynı işlemler üzerinden cevabın hijinksensue.com olduğunu görüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Yedinci sorumuzda bizden exploit'in adını sormuş. packettotal.com üzerinden pcap dosyamızı upload edelim ve sonuçlara bakalım. ET ve Landing now ibareleri altında aramayı unutmayalım. Cevabımız ektedir:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Sekizinci soruda bizden zararlının veya bulaşıcı host'un yönlendiren web adresinin ne olduğunu söylememizi istemiş. Yeniden wireshark ile "http.requests.method==GET" filtrelemesi ile tüm http paketlerinin getirilmesini isteyebilir veya packetotal üzerinden görüntüleyebilirim.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Dokuzuncu soruda üstteki sorunun web adresinin IP adresini sormuş. Packettotal üzerinde görüntülüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Onuncu soruda zararlı yazılımın pcapdan çıkarılması MD5 hash kodunun yazılması isteniyor. Bunun için WireShark üzerinden Dosyalar sekmesi -> Nesneleri Dışa Aktar -> HTTP seçeneğine tıklıyorum. Daha sonra içerik türü sütununa tıklayarak application/octet stream ibaresi üzerinden dosyamı kaydediyor ve virüs totale taratıyorum. Çıkan sonucum ve MD5 Hash kodum:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On birinci soruda zafiyetin CVE tanımını istiyor. Zafiyetimizin adı Sweet Orange idi recordedfuture.com adresinden CVE tanımını öğrenebiliriz.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On ikinci soruda analiz edilmesi en uzun süren değişkenin analiz programlarında ne olarak adlandırıldığını soruyor sanırım. Brim üzerinde açtığımızda cevabımız bu:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On üçüncü soruda f.txt adlı dosyanın referans adresini sormuş. Brim'i açıyorum ve arama kısmına şunu yazıyorum filename!=null | cut _path, tx_hosts, rxhosts, conn_uids, mime_type, filename, md5, sha1 gelen sonuçlardan f.txt yazan birine tıkladım ve log sayfamda referans URL'sini görüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On dördüncü soruda pcap dosyasının ne zaman oluşturulduğunu soruyor. Brim'de ana sayfada sağ köşeye bakıyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On beşinci soruda PE dosyasının ne zaman derlendiğini soruyor. Yukarıda bir virüs taraması yapmıştık. O taramanın Virüs Total sonuçlarına gidip Details kısmından aşağı iniyor ve header adlı başlığa geliyoruz bize burada derlenme tarihini gösterecek.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On altıncı soruda SSL sertifikasının adıyla alakalı bir soru var açıkcası SSL sertifikası adı üzerinden biraz araştırdım sonuçlarım görseldedir.
Brim üzerinden arama yerine ssl yazıyorum ve çıkan sonuçlardan siyahlar içerisinde ssl yazan verilere tek tek açıp log detaylarına bakıyorum bana da issuer diye bir şey sormuştu sonucu şak buluyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On yedinci soruda dosyamızı korumak için kullanılan hangi şifreleme yöntemlerinin kullanıldığını soruyor sanırım. Windows ortamında çalıştığım için şu adreste windows sekmesini buluyorum ve kullanılan yöntemleri görüyorum.
en.wikipedia.org
Cevabımız; DEP,SEH
CTF şeklinde olan rar dosyamızı indirelim ve içerisindeki PCAP dosyamıza ulaşmak için şifremizi girelim.(cyberdefenders.org).
Not Kullanılan Programlar:
Brim(İndirmek İçin; Brim)
NetworkMiner(İndirmek İçin; NetworkMiner - The NSM and Network Forensics Analysis Tool ⛏)
Wireshark(İndirmek İçin; Wireshark · Go Deep.)
İlk sorumuzda görüldüğü üzere virüs bulaşan windows makinenin IP adresini sormuş. Burada "apackets.com" adlı istemize gidelim ve upload kısmından view report diyerek ile pcap dosyamızı içerisine tanıtalım ve network sekmesine gelelim. Ve yeşilli olanı veri sekmeleri içerisinden biraz dışarı itiyorum. Görüldüğü üzere cevabımız:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
İkinci sorumuzda virüs bulaşan windows makinenin ise MAC adresini soruyor. Networkminer programını açalım ve pcap dosyamızı içine sürükleyelim.
Arama kısmına ip.src==172.16.165.132 or ip.dst==172.16.165.132 yazıyorum ve İnfo sekmesinde Standart Query yazmasına dikkat ediyorum. Destination kısmına tıkladım Ethernet II kısmına tıkladım ve cevabımız aşağıdadır.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Üçüncü sorumuzda zararlı yazılımın IP adresini ve port bağlantısı sormuş. Brim adlı uygulamamızı açıyoruz ve pcap dosyamızı içerisine sürüklüyoruz. Arama kısmına files yazıyoruz daha sonra gelen sonuç tablosu içerisinde application/x-dosexec ibaresini arıyoruz. İbarenin karşılığının 37.143.15.180 IP adresini barındırdığını görüyorum hemen Wireshark programına geri dönüp arama kısmına şu ibareyi yazıyorum; "ip.src==37.143.15.180" Az aşağıda Transmission Control Protocol yani TCP ifadesini ve karşısında ise Src Port ibaresini görüyorum. IP adresim: 37.143.15.180 Portum: 51439
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Dördüncü sorumuzda windows makineye zararlı dosya bulaşan IP adresinin host ismlerini sormuş. Networkminer programımızı açalım ve pcap dosyamızı içerisine yansıtalım. Yansıttıktan sonra bir üst soruda bulmuş olduğumuz IP adresimizi arayıp bulalım ve hostlarımız karşımızda.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Beşinci sorumuzda bizden virüs bulaşan windows makinenin hangi IP adresi üzerinden zararlı bir dosya bulaştığını söylememizi istemiş. Hemen "networkminer" aracımızda bulunan sessions adlı bölüme gelerek yapılan oturumları, IP adreslerini görebiliriz cevabımızı da öyle
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Altıncı sorumuzda bizden windows makineye zararlı dosya bulaşan IP adresinin host ismini sormuş. Biraz önce host IP adresini bulmuştuk. Aynı işlemler üzerinden cevabın hijinksensue.com olduğunu görüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Yedinci sorumuzda bizden exploit'in adını sormuş. packettotal.com üzerinden pcap dosyamızı upload edelim ve sonuçlara bakalım. ET ve Landing now ibareleri altında aramayı unutmayalım. Cevabımız ektedir:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Sekizinci soruda bizden zararlının veya bulaşıcı host'un yönlendiren web adresinin ne olduğunu söylememizi istemiş. Yeniden wireshark ile "http.requests.method==GET" filtrelemesi ile tüm http paketlerinin getirilmesini isteyebilir veya packetotal üzerinden görüntüleyebilirim.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Dokuzuncu soruda üstteki sorunun web adresinin IP adresini sormuş. Packettotal üzerinde görüntülüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
Onuncu soruda zararlı yazılımın pcapdan çıkarılması MD5 hash kodunun yazılması isteniyor. Bunun için WireShark üzerinden Dosyalar sekmesi -> Nesneleri Dışa Aktar -> HTTP seçeneğine tıklıyorum. Daha sonra içerik türü sütununa tıklayarak application/octet stream ibaresi üzerinden dosyamı kaydediyor ve virüs totale taratıyorum. Çıkan sonucum ve MD5 Hash kodum:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On birinci soruda zafiyetin CVE tanımını istiyor. Zafiyetimizin adı Sweet Orange idi recordedfuture.com adresinden CVE tanımını öğrenebiliriz.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On ikinci soruda analiz edilmesi en uzun süren değişkenin analiz programlarında ne olarak adlandırıldığını soruyor sanırım. Brim üzerinde açtığımızda cevabımız bu:
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On üçüncü soruda f.txt adlı dosyanın referans adresini sormuş. Brim'i açıyorum ve arama kısmına şunu yazıyorum filename!=null | cut _path, tx_hosts, rxhosts, conn_uids, mime_type, filename, md5, sha1 gelen sonuçlardan f.txt yazan birine tıkladım ve log sayfamda referans URL'sini görüyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On dördüncü soruda pcap dosyasının ne zaman oluşturulduğunu soruyor. Brim'de ana sayfada sağ köşeye bakıyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On beşinci soruda PE dosyasının ne zaman derlendiğini soruyor. Yukarıda bir virüs taraması yapmıştık. O taramanın Virüs Total sonuçlarına gidip Details kısmından aşağı iniyor ve header adlı başlığa geliyoruz bize burada derlenme tarihini gösterecek.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On altıncı soruda SSL sertifikasının adıyla alakalı bir soru var açıkcası SSL sertifikası adı üzerinden biraz araştırdım sonuçlarım görseldedir.
Brim üzerinden arama yerine ssl yazıyorum ve çıkan sonuçlardan siyahlar içerisinde ssl yazan verilere tek tek açıp log detaylarına bakıyorum bana da issuer diye bir şey sormuştu sonucu şak buluyorum.
--------0000000000----------- --------------000000000000-------------- ----------------0000000000----------------------
On yedinci soruda dosyamızı korumak için kullanılan hangi şifreleme yöntemlerinin kullanıldığını soruyor sanırım. Windows ortamında çalıştığım için şu adreste windows sekmesini buluyorum ve kullanılan yöntemleri görüyorum.
Executable-space protection - Wikipedia
Cevabımız; DEP,SEH
