חקירת קובץ Pcap - מספר 001

1. ראשית, יש להוריד את קובץ ה-PCAP ולפתוח אותו באמצעות Wireshark.
לחץ כאן כדי להוריד את הקובץ (סיסמא csi)
כפי שניתן לראות מתבצעת כאן שיחה בין 2 כתובות IP:
[כתובת ראשונה: 10.10.10.10, כתובת שנייה: 10.10.10.70].

2. בשורה הראשונה (חותמת זמן: 02:39:59.311284), כתובת 10.10.10.70 מבקשת את קובץ Index.php מכתובת 10.10.10.10.




3. נייצא את את האובייקטים אל תיקייה ונעלה אותם לבדיקה באתר Virus Total.
* אתר Virus Total מזהה את אחד הקבצים כ-exploit/Trojan.
(CVE 2010-0249 CVE-2010-0247).




4. נבדוק באינטרנט אודות האקספלוייט הנ"ל. (ידוע כ-Aurora).
exploit/windows/browser/ms10_002_aurora

מידע אודות Aurora:
מערכת הפעלה: חלונות
Aurora, מנצלת שגיאת זיכרון בדפדפן אינטרנט אקספלורר, גרסה 6, מאפשרת לתוקף לקבל גישה מלאה על המחשב המותקף בעזרת הרצת קוד זדוני פשוט.

5. ניתן להבין שהתוקף נמצא בכתובת 10.10.10.10 והקורבן בכתובת 10.10.10.70. הקורבן לחץ על לינק ששלח התוקף ופתח אותו באמצעות אינטרנט אקספלורר.



6. חותמת זמן 02:40:00.577135, הקורבן שולח SYN אל התוקף בפורט 4444 (נראה כמו Metasploit).

7. התוקף שולח קובץ הרצה אל הקורבן MZ – PE Windows.

8. בשורה 1503, חותמת זמן (02:41:10) עד שורה 1656 חותמת זמן (02:42:02). מחשב הקורבן מנסה לפתוח שיחה אל התוקף בפורט 4445 ללא הצלחה.


9. בשורה 1657 חותמת זמן (02:42:02) נפתחת שיחה חדשה בפורט 4445.
נחלץ את הקבצים ונבדוק את הקבצים שהורדו.



10. נעלה את קובץ session_0002.4444.raw1 לאתר Virus Total ונגלה שזה Meterpreter בפורט 4444.


11. נעלה גם את הקובץ השני session_0011.4445.raw1 לאתר Virus Total פורט 4445. התוצאה היא גם Meterpreter ניתן להניח שזהו ניסיון Privilege Escalation.

שתף:

פאביו ליאור רחמים

סקרן, אוהב טכנולוגיה ומחשבים מזה שנים רבות וכותב ערכים קבוע בויקיפדיה.