문제

풀어 보았다.

① 감염 단말기에서 흔적을 찾는 방법.
②멀웨어로부터 통신처를 찾는 방법.

의 2가지가 있는 것 같습니다만, Windows의 가상 머신을 가지고 있지 않기 때문에, 이번은 ①감염 단말로부터 흔적을 찾는 방법으로 합니다.

하치베 씨가 감염되어 있기 때문에, 그 PC를 조사합니다.
웹 기록을 살펴보겠습니다.

BrowsingHistoryView를 사용합니다.



문제 문장에서 "〇〇.com"이라는 것을 알고 있으므로, 그것을 짜면

lh3.googleusercontent.com

하지만 수상하지만 google 같지만. . .
뭐 일단 입력해 보았습니다만, 역시 달랐습니다.

캐시를 살펴 보시겠습니까?

IECacheView를 사용합니다.

조사하는 폴더는

\PC13\Users\user13\AppData\Local\Microsoft\Windows\Temporary Internet Files

입니다.



멀리 멀웨어를 다운로드하고 있습니다.
그래서 이것이 대답.

라고 생각하면 달랐습니다.
이 멀웨어가 어디로 통신합니까? 라는 문제인가?

라는 것은, 이 다운로드 직후에 액세스하고 있는 곳이 대답일까라고 생각하고, LastAccessd로 재배열해 보면, 이것이 마지막 액세스였다. . .

음. 통신 로그가 없습니까? 라고 생각해 다시 오픈 월드 보고 있으면 프록시의 로그를 볼 수 있는 것을 알았다.



이것을 보면 이야기가 빠르다.



조만간 malware.exe를 다운로드 한 후 통신하고 .com을 보면 몇 가지 있었고, 그 중에 대답이있었습니다.

그건 그렇고
IP 주소의 4옥텟이 13의 녀석이라면 "ocsp.digicert.com"일까라고 생각하면 달라, 또 하나 쪽이었습니다.
IP의 4옥텟이 19명의 사람들도 감염된 것으로 나타났다.