Приблизительно год назад я сотрудничал с людьми в Lake Missoula Group, чтобы создать сетевую проблему судебной экспертизы на тему вредоносного программного обеспечения. То соревнование теперь закончено; однако, я хотел бы обеспечить возможность учиться из сценария, определенного в той проблеме усиливать аналитические навыки вредоносного программного обеспечения. Если это звучит интересным, я предлагаю, чтобы продолжились следующим образом:
Считайте сценарий, описанный в исходном puzzle:Ms. Таинственное Вредоносное программное обеспечение Moneymany.
Получите файл PCAP, содержащий вредоносные артефакты от исходной страницы проблемы, соединенной выше.
Полагайте, что ответ на эти 7 вопросов в исходной проблеме усиливает сетевые навыки судебной экспертизы
Рассмотрите рассмотрение победы и ответов финалиста на исходную проблему.
Ответьте на 7 последующих вопросов ниже.
Отправьте решения онлайн и добавьте комментарий к этому сообщению в блоге со ссылкой к нему.
Важный: ответы на эту последующую проблему не будут градуироваться и нет никакого приза. Это - просто возможность усилить аналитические навыки вредоносного программного обеспечения и помочь другим учиться на опыте. Я отправлю корректные ответы на последующие вопросы спустя приблизительно месяц после того, как это сообщение в блоге будет опубликовано. Кроме того, быть осторожным при анализе вредоносных файлов, на которые ссылаются выше: заразите систему реальным вредоносным программным обеспечением, если не будете осторожны относительно обработки их в изолированной лаборатории вредоносного программного обеспечения.
Последующие вопросы для этой проблемы ниже. Они обращаются к вредоносной исполнимой программе и другим артефактам, которые должны сначала извлечь из файла PCAP, на который ссылаются.
Когда вредоносная исполнимая программа Windows работает на зараженной системе, она создает скрытый каталог, где она хранит два файла. Каково имя этого каталога?
Вредоносная исполнимая программа Windows создает скрытый ключ реестра, чтобы удостовериться исполнимые выполнения каждый раз, когда перезагрузки жертвы и журналы в систему Windows. Каков полный путь того ключа реестра?
Вредоносная веб-страница, которую загрузил браузер пользователя, использовала путаницу JavaScript, чтобы защитить часть ее содержания. deobfuscated страница включала "iframe" элемент HTML. Что на URL сослался этот "iframe"?
Один из апплетов Java, загруженных браузером пользователя, предназначался для уязвимости в среде выполнения Java (JRE). Каково было имя файла, который непосредственно реализовывал использование?
Вредоносная исполнимая программа Windows пытается ввести код в несколько процессов. То, которое функционирует в WININET.dll исполнимой программе, сцепляется, чтобы вмешаться в нормальное функционирование зараженной системы?
Вредоносная исполнимая программа Windows пытается удалить файлы в зараженной системе. Какие категории файла исполнимая программа пытается удалить?
Чем другими интересными характеристиками обладает вредоносная исполнимая программа Windows? Это - несколько открытый вопрос. Это разработано, чтобы помочь тем, кто ответил на другие вопросы, чтобы выделиться.
При совместном использовании ответов обеспечьте объяснение того, как прибыли и ответы, таким образом, мы можем все извлечь уроки из подхода.
Если в новинку для анализа вредоносного программного обеспечения, вот несколько ресурсов, чтобы помочь начинать:
Создание аналитического инструментария вредоносного программного обеспечения При помощи бесплатных инструментов
При помощи VMware для анализа вредоносного программного обеспечения
Введение в аналитический вебкаст вредоносного программного обеспечения
Комментариев нет:
Отправить комментарий