할 수 없었던 문제를 writeup 등을 참고로 공부한 기록을 남긴다.
Wireshark에서 패킷을 구문 분석하는 문제.
DNS 서버가 C2로서 가동하고 있어 PC에 감염된 맬웨어가 훔친 정보를 C2(DNS)에 송신하고 있는 상황을 모델로 하고 있다고 생각된다.

Wireshark twoo twooo two twoo...

Protocol Hierarchy

수가 적은 것을 보고

UDP 데이터
HTTP xml
HTTP Line-based text data

Line-based text data에는 더미 플래그가 많이 있습니다.

엔드 포인트

192.168.38.xxx PCs
8.8.8.8 Google DNS
18.217.1.57이 이상합니다.

18.217.1.57에서 필터링 된 상태의 Protcol Hierarchy

Line-based text data는 가짜 플래그이므로 dns보기


응답이 전부 「그런 이름 없어요」가 돌아왔다
HTTP 통신은 많이 하고 있으므로, 이 DNS 통신은 C2에 훔친 정보를 송신하고 있는 것으로 보아야 한다.

Flags: 0x8183 Standard query response, No such name

Standard query로 짜다

같은 이름을 3곳에 보내고 있다

중복 삭제


하위 도메인이 BASE64인 것 같습니다.

cGljb0NU.reddshrimpandherring.com
RntkbnNf.reddshrimpandherring.com
M3hmMWxf.reddshrimpandherring.com
ZnR3X2Rl.reddshrimpandherring.com
YWRiZWVm.reddshrimpandherring.com
fQ==.reddshrimpandherring.com

빙고

이런 문제(멀웨어 해석으로 이어지는 녀석)를 더 늘려 주었으면 한다.