2. 20141123

原創

2022-01-18 13:56

BASIC QUESTIONS:

What is the IP address of the Windows VM that gets infected?

將所有的http 對象導出來，再用殺毒軟件查殺。

根據文件名定位到數據包

所以就是 172.16.165.132

What is the MAC address of the infected VM?

查看對應的 mac 地址即可。

What is the IP address of the compromised web site?

192.30.138.146

What is the domain name of the compromised web site?

從上題能看出

What is the IP address and domain name that delivered the exploit kit and malware?

ip.dst == 37.143.15.180

What is the domain name that delivered the exploit kit and malware?

MORE ADVANCED QUESTIONS:

What is the exploit kit (EK) that delivers the malware?

What is the redirect URL that points to the exploit kit (EK) landing page?

所以答案就是 http://static.charlotteretirementcommunities.com/k?tstmp=3701802802

老實說，這個 js 沒有明顯的跳轉，國外博客上是這樣解釋的

There is no clear text iframe linking to the exploit kit domain. There is a bit of JavaScript at the bottom which could be assumed to be something of a referral URL.

What is the IP address of the redirect URL that points to the exploit kit (EK) landing page?

查看上一題的 ip 即可。

Submit the pcap to VirusTotal and find out what snort alerts triggered. Do any of the alerts indicate what this exploit kit this is?

直接將流量文件提交到 virustotal

Extract the malware payload from the pcap. What is the MD5 or SHA256 hash?

計算一下那個惡意文件的 md5 即可

EXTRA QUESTIONS:

If you use Suricata, what EmergingThreats signatures fire on the exploit kit traffic?

直接將流量文件提交到 virustotal

What exploit (which CVE) is used by this EK?

直接將流量文件提交到 virustotal ，可以看到 cve-2014-6332

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

相關文章

【Xss-fiddler漏洞測試】通過該種方式可以批量掃描也可以使用super xary 進行圖形掃描

下載xary-社區版生成xary 證書 xxx genca Chrome 安裝證書-設置-隱私安全-安全-管理證書-導入 Chrome 安裝代理 Fiddler 設置轉向代理命令行啓動xary

2024-04-16 14:33:17

聊聊大模型的屏蔽詞工程

轉載請備註出處：https://www.cnblogs.com/zhiyong-ITNote 概述在做微調訓練時，鑑於業務場景的需要，可能會存在微調數據集中含有敏感詞彙，譬如：自殺、跳樓等。而開源模型可能沒有做敏感詞彙的屏蔽工程。因此

2024-04-16 14:32:47

「題解」The 19th Zhejiang Provincial Collegiate Programming Contest

Before 比賽清明和一個隊友 vp 的，完全的跟榜做題，感覺發揮的還行。 B - JB Loves Comma 簽到 #include <bits/stdc++.h> std::string s; int main() { s

2024-04-16 14:32:06

指揮標註工具。戰場進攻路線圖繪製，區域營銷態勢繪製，也可以用於大屏綜合指揮場合

在背景圖上標註集結地，防禦線和進攻箭頭。成品軟件。特徵：單機桌面版本支持多箭頭可以縮放視圖可全屏切換可設定顏色支持導出到圖片操作說明：運行程序單擊工具條按鈕，操作鼠標左鍵拖動視圖鼠標滾輪縮放視圖操作視頻，

2024-04-16 14:30:56

Excel身份證提取出生日期

=MID(G2,7,4)&"-"&MID(G2,11,2)&"-"&MID(G2,13,2)

2024-04-16 14:25:06

一個.NET開源的功能豐富、靈活易用的 Windows 窗口增強神器

前言通常情況下 Windows 中的軟件窗口界面一般只包含還原、移動、大小、最大化、最小化、關閉等幾個基本的操作：今天大姚給大家推薦一個.NET開源、免費（MIT License）、功能豐富、靈活易用、小巧（不到1M）的 Windo

2024-04-16 14:22:05

第三十一節：批量插入框架[Zack.EFCore.Batch]和EFCore8.x自帶的批量刪除、更新

一. 說明 1. 目標這裏主要測試 EFCore8.x 版本提供的批量刪除和批量更新; 以及老楊的框架 [Zack.EFCore.Batch] 以SQLServer爲載體進行測試。 2. 準備 (1). 需要的程序集

2024-04-16 14:21:35

一個簡單的開源消息中間件 FolkMQ v1.4.2 發佈

功能簡表角色功能生產者（客戶端）發佈消息、定時消息（或叫延時）、順序消息、可過期消息、事務消息。支持 Qos0、Qos1 消費者（客戶端）訂閱、取消訂閱。消費-ACK（自動、手動）服務端發

2024-04-16 14:21:15

左神的算法書

https://juejin.cn/post/6976634412288966663

張博的博客

2024-04-16 14:19:55

正則表達式中 “$” 並不是表示 “字符串結束

作者：Seth Larson 譯者：豌豆花下貓@Python貓英文：Regex character “$” doesn't mean “end-of-string” 轉載請保留作者及譯者信息！這篇文章寫一寫我最近在用 Python 的正

豌豆花下貓

2024-04-16 14:19:15

Sparse稀疏檢索介紹與實踐

Sparse稀疏檢索介紹在處理大規模文本數據時，我們經常會遇到一些挑戰，比如如何有效地表示和檢索文檔，當前主要有兩個主要方法，傳統的文本BM25檢索，以及將文檔映射到向量空間的向量檢索。 BM25效果是有上限的，但是文本檢索在一些場景仍具

2024-04-16 14:19:15

面試官：爲什麼忘記密碼要重置而不是告訴你原密碼？

這是一個挺有意思的面試題，挺簡單的，不知道大家平時在重置密碼的時候有沒有想過這個問題。回答這個問題其實就一句話：因爲服務端也不知道你的原密碼是什麼。如果知道的話，那就是嚴重的安全風險問題了。我們這裏來簡單分析一下。做過開發的應該都知道

2024-04-16 14:19:05

Pytorch DistributedDataParallel（DDP）教程二：快速入門實踐篇

一、簡要回顧DDP 在上一篇文章中，簡單介紹了Pytorch分佈式訓練的一些基礎原理和基本概念。簡要回顧如下： 1，DDP採用Ring-All-Reduce架構，其核心思想爲：所有的GPU設備安排在一個邏輯環中，每個GPU應該有一個左鄰和一

2024-04-16 14:12:44

C# 凍結Excel窗口以鎖定行列、或解除凍結

在處理大型Excel工作簿時，有時候我們需要在工作表中凍結窗格，這樣可以在滾動查看數據的同時保持某些行或列固定不動。凍結窗格可以幫助我們更容易地導航和理解複雜的數據集。相反，當你不需要凍結窗格時，你可能需要解凍它們以獲得完整的視野。下面將

2024-04-16 14:10:04

Scratch3之AI集成 - flappy bird AI版本

AI神祕且有趣，我們一個經典的遊戲flappy bird集成AI，實現自訓練成長的聰明的笨鳥。先上效果：初始化的笨鳥擁有分身，每個分身都有自我學習功能，根據自己的移動軌跡和得分情況進行彙總，進行新一代的笨鳥的迭代，基本經過數十輪的訓練和

2024-04-16 14:08:04

24小時熱門文章

最新文章

最新評論文章