STDiO CTF 2020 Another Way:FORENSIC 20pt PresentedbyRPCA
เห็นโจทย์ ดาวน์โหลดไฟล์ ออกมา เป็น pcap คิดว่าน่าจะต้องเป็น traffic network แน่ๆเลย มีการรับส่งข้อมูลกันเยอะมากๆ :(
เริ่มต้นยังไงดีกันหล่ะไปไม่ถูกขอเข้าไปดูการสื่อสารแต่ละ IP หน่อยละกันเผื่ออะไรๆจะดีขึ้น Stastistics > Conversations
เห็นเหมือนผมเห็นไหมครับ IP เรียงกันสวยงามเชียว คิดในใจ มันต้องเป็น Traffic ที่สร้างหลอกขึ้นมาให้มันเยอะๆแน่เลย ดีน่ะ คนสร้างยังปราณี ให้สังเกตเห็นกันง่ายเลยไปสนใจ IP อื่นดีกว่า 10.211.55.76
เจ้าพวกนี้แหล่ะน่าสนใจ DNS ส่งไปมาถี่ๆกัน แถมยังผิดปกติ ด้วยที่มัน มี Hex String จำนวนมากส่งเข้ามา จึงหาข้อมูลจากพี่กูรูเพิ่มเติม พบว่า โจทย์ได้ใบ้เรามาว่ามีการตรวจพบ Malware การที่มันส่งข้อมูลโดยใช้ DNS มานั้น เพื่อจะเป็นการหลีกเลี่ยง Firewall (แน่ๆเลย) ในการตรวจจับไฟล์ Malware เราจึง ต้อง Filter อ่านเฉพาะ TXT Quries ด้วยคำสั่ง “ (dns.qry.type == 16) and not (dns.txt)”
เมื่อ Filter ดูแล้วมันก้อมี Hex String ยาวกว่าชาวบ้านเขาจับตามองเลยทีนี้
เอาไป Decode From HEX ด้วย Cyberchef
ตู้ม!!!เกิดเป็นโกโก้ครั๊น 555
STDiO:{DNS_exil}