picoCTF 2021 Wireshark twoo twooo two twoo...
Wireshark에서 패킷을 구문 분석하는 문제.
DNS 서버가 C2로서 가동하고 있어 PC에 감염된 맬웨어가 훔친 정보를 C2(DNS)에 송신하고 있는 상황을 모델로 하고 있다고 생각된다.
Wireshark twoo twooo two twoo...
Protocol Hierarchy
수가 적은 것을 보고
UDP 데이터
HTTP xml
HTTP Line-based text data
Line-based text data에는 더미 플래그가 많이 있습니다.
엔드 포인트
192.168.38.xxx PCs
8.8.8.8 Google DNS
18.217.1.57이 이상합니다.
18.217.1.57에서 필터링 된 상태의 Protcol Hierarchy
Line-based text data는 가짜 플래그이므로 dns보기
응답이 전부 「그런 이름 없어요」가 돌아왔다
HTTP 통신은 많이 하고 있으므로, 이 DNS 통신은 C2에 훔친 정보를 송신하고 있는 것으로 보아야 한다.
Flags: 0x8183 Standard query response, No such name
Standard query로 짜다
같은 이름을 3곳에 보내고 있다
중복 삭제
하위 도메인이 BASE64인 것 같습니다.
cGljb0NU.reddshrimpandherring.com
RntkbnNf.reddshrimpandherring.com
M3hmMWxf.reddshrimpandherring.com
ZnR3X2Rl.reddshrimpandherring.com
YWRiZWVm.reddshrimpandherring.com
fQ==.reddshrimpandherring.com
빙고
이런 문제(멀웨어 해석으로 이어지는 녀석)를 더 늘려 주었으면 한다.
Reference
이 문제에 관하여(picoCTF 2021 Wireshark twoo twooo two twoo...), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/housu_jp/items/2f31e27bc9cfba6d50d3
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
Flags: 0x8183 Standard query response, No such name
cGljb0NU.reddshrimpandherring.com
RntkbnNf.reddshrimpandherring.com
M3hmMWxf.reddshrimpandherring.com
ZnR3X2Rl.reddshrimpandherring.com
YWRiZWVm.reddshrimpandherring.com
fQ==.reddshrimpandherring.com
Reference
이 문제에 관하여(picoCTF 2021 Wireshark twoo twooo two twoo...), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/housu_jp/items/2f31e27bc9cfba6d50d3텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)