NET.pcap
14.5 MB
ایندفعه یه چالش عملی تو حوزه شبکه داریم
چلنج بصورت عملی هستش و تو دسته نتورک فارنزیک قرار میگیره یک فایل با پسوند pcap بهتون داده میشه و باید با در نظر گرفتن سناریو به سوالات پاسخ بدید .
جواباتون رو سعی کنید تو قالب یک پیام بفرستید (داخل گپ)
سطح سوال هم اسون هستش
(چلنج برای یکی از پلتفرم های معتبر تو این حوزه هستش )
➖➖➖➖➖
Scenario:
تیم SOC فعالیت مشکوکی در ترافیک شبکه شناسایی کرده که نشون میده یکی از ماشینها در شبکه دچار نفوذ شده. اطلاعات حساس شرکت به بیرون منتقل شده. وظیفه شما استفاده از فایل Network Capture (PCAP) و Threat Intelligence برای تحلیل این حمله و مشخصکردن نحوه نفوذ هست.
سوالات:
➖➖➖
۱)کدام IP توسط مهاجم برای دسترسی اولیه استفاده شده؟
➖➖➖
۲)نام فایل مخرب استفادهشده برای دسترسی اولیه چیست؟
➖➖➖
۳)هش SHA-256 فایل مخرب اولیه چیست؟
➖➖➖
۴)کدام فرآیند (process) برای اجرای فایل مخرب استفاده شده است؟
➖➖➖
۵)پسوند فایل دوم مخرب که مهاجم استفاده کرده چه بوده؟
➖➖➖
۶)هش MD5 فایل دوم مخرب چیست؟
چلنج بصورت عملی هستش و تو دسته نتورک فارنزیک قرار میگیره یک فایل با پسوند pcap بهتون داده میشه و باید با در نظر گرفتن سناریو به سوالات پاسخ بدید .
جواباتون رو سعی کنید تو قالب یک پیام بفرستید (داخل گپ)
سطح سوال هم اسون هستش
(چلنج برای یکی از پلتفرم های معتبر تو این حوزه هستش )
➖➖➖➖➖
Scenario:
تیم SOC فعالیت مشکوکی در ترافیک شبکه شناسایی کرده که نشون میده یکی از ماشینها در شبکه دچار نفوذ شده. اطلاعات حساس شرکت به بیرون منتقل شده. وظیفه شما استفاده از فایل Network Capture (PCAP) و Threat Intelligence برای تحلیل این حمله و مشخصکردن نحوه نفوذ هست.
سوالات:
➖➖➖
۱)کدام IP توسط مهاجم برای دسترسی اولیه استفاده شده؟
➖➖➖
۲)نام فایل مخرب استفادهشده برای دسترسی اولیه چیست؟
➖➖➖
۳)هش SHA-256 فایل مخرب اولیه چیست؟
➖➖➖
۴)کدام فرآیند (process) برای اجرای فایل مخرب استفاده شده است؟
➖➖➖
۵)پسوند فایل دوم مخرب که مهاجم استفاده کرده چه بوده؟
➖➖➖
۶)هش MD5 فایل دوم مخرب چیست؟
⚡8❤2🔥2
Forwarded from Web Application Security (Alireza)
سایت https://pocorexp.nsa.im/ همهی CVEها رو فهرست کرده و اگر برای هرکدوم اکسپلویت پابلیک وجود داشته باشه، اون رو هم پایینش قرار میده.
❤8⚡2
NSEs
NET.pcap
بیایم و ببینیم این چلنج به چه صورت حل میشد
یبار دیگه اینجا اشاره میکنم که سطح چلنج اسون بود و روش حل پیچیده ای هم قرار نیست داشته باشه
من اومدم یدور سوال ها رو بخونم و سوال اول رو وقتی خوندم
" ۱)کدام IP توسط مهاجم برای دسترسی اولیه استفاده شده؟"
و بعدش رسیدم به سوال دوم
"۲)نام فایل مخرب استفادهشده برای دسترسی اولیه چیست؟"
متوجه شدم با فایل قرار سرکار داشته باشم و بجای اینکه بیام کل ترافیک رو تحلیل کنم اومدم از یه ابزار کمک گرفتم که فایل .pcap رو تحلیل میکنه و فایل هایی که رد بدل شده داخل ترافیک رو برام پیدا میکنه
لینک ابزار (https://github.com/Sh3n0bi/NetForensicAI)
و یه همچین خروجی بهم داد
که ایپی اتکر و قربانی رو تونستم پیدا کنم و سوال اول حل شد
بعدش رسیدم به سوال دوم که اسم فایل رو میخواست با فیلتر کردن ایپی اتکر رسیدم چند تا پکت که داخلشون دوتا پکت HTTP بود که تو یکیشون فایل ارسال شده بود و تونستم اسمش رو پیدا کنم
Content-disposition: attachment;filename=allegato_708.js
و سوال دوم هم حل شدش
حالا میرسیم به سوال سوم که از اینجاش کلا سر پایینی هستش
باید هش فایل مخرب اولیه رو پیدا کنیم (sha-256)
چون خود فایل تو فایل pcap. نبودش مجبور شدم برم سراغ سایت هایی که فایل های مخرب رو تحلیل میکنن که شاید اونجا پیداشون کنم اول رفتم سراغ any.run چون تحلیلاش بهتره که دیدم با اسم فایل نمیتونم پیداش کنم
بعدش رفتم سراغ hybrid-analysis.com و اینجا تونستم با اسم فایل تحلیلش رو پیدا کنم خیلی سریع sha256 فایل رو برداشتم (847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268) راستی سوال سوم هم حل شدش و تحلیلش رو تو any.run با هش پیدا کردم و رفتم سراغ ادامه کار
دیگه بعد اینجاش گشتن تو سندباکس انلاین any.run هستش که فقط ریپورت رو بررسی کنیم و جوابارو پیدا کنیم
ریپورت(https://any.run/report/847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268/a886894d-8ae4-4d59-a990-b59536885da8#i-table-processes-4da0a0b5-235f-4a5d-ad6b-b436b0e71204)
سوال چهارم میپرسه کدوم فرایند فایل مخرب رو اجرا کردش
که جوابش wnoscript.exe هست یه ابزاری برای ران کردن فایل هایی مثل js.
بعدشم سوال پنجم در مورد پسوند فایل مخرب دوم میپرسه که داخل تحلیل نشون داده که اتکر یه پیلود :
اجرا کرده
و جواب .dll هست
اما اخرین سوال که هش MD5 فایل مخرب دوم رو میخواد
و میریم سراغ Dropped files فایل ها که اونجا دوتا فایل قابل اجرا پیدا میکنیم که یکیش جواب ما قرار باشه :
و هش md5 اون رو برداریم:
E758E07113016ACA55D9EDA2B0FFEEBE
پایان چالش
میتونستم صرفاً لینک چالش رو بدم و بگم خودتون برید انجامش بدید.
اما خواستم کمی شخصیتر و تعاملیترش کنم تا حس رقابت و کنجکاوی ایجاد بشه و دوستان بیشتری درگیر حلش بشن
یبار دیگه اینجا اشاره میکنم که سطح چلنج اسون بود و روش حل پیچیده ای هم قرار نیست داشته باشه
من اومدم یدور سوال ها رو بخونم و سوال اول رو وقتی خوندم
" ۱)کدام IP توسط مهاجم برای دسترسی اولیه استفاده شده؟"
و بعدش رسیدم به سوال دوم
"۲)نام فایل مخرب استفادهشده برای دسترسی اولیه چیست؟"
متوجه شدم با فایل قرار سرکار داشته باشم و بجای اینکه بیام کل ترافیک رو تحلیل کنم اومدم از یه ابزار کمک گرفتم که فایل .pcap رو تحلیل میکنه و فایل هایی که رد بدل شده داخل ترافیک رو برام پیدا میکنه
لینک ابزار (https://github.com/Sh3n0bi/NetForensicAI)
و یه همچین خروجی بهم داد
2025-06-11 16:59:43,078 - INFO - Top 5 DPI Results:
2025-06-11 16:59:43,079 - INFO - Source: 10.2.14.101:49786 -> Destination: 62.173.142.148:80
2025-06-11 16:59:43,079 - INFO - Payload Preview: GET /login.php HTTP/1.1
Host: portfolio.serveirc....
2025-06-11 16:59:43,079 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,079 - INFO - Payload Preview: HTTP/1.1 200 OK
Server: nginx/1.14.0 (Ubuntu)
Da...
2025-06-11 16:59:43,079 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: BmkqW7HAt28','iSktWPxcO8k5y0WHsce','E8k3WQG+W5e','...
2025-06-11 16:59:43,080 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: 23c2();return _0x57c2=function(_0x57c28d,_0x19268b...
2025-06-11 16:59:43,080 - INFO - Source: 62.173.142.148:80 -> Destination: 10.2.14.101:49786
2025-06-11 16:59:43,080 - INFO - Payload Preview: )%0x100,_0x5c44af=_0x14b9a0[_0x363895],_0x14b9a0[_...
که ایپی اتکر و قربانی رو تونستم پیدا کنم و سوال اول حل شد
بعدش رسیدم به سوال دوم که اسم فایل رو میخواست با فیلتر کردن ایپی اتکر رسیدم چند تا پکت که داخلشون دوتا پکت HTTP بود که تو یکیشون فایل ارسال شده بود و تونستم اسمش رو پیدا کنم
Content-disposition: attachment;filename=allegato_708.js
و سوال دوم هم حل شدش
حالا میرسیم به سوال سوم که از اینجاش کلا سر پایینی هستش
باید هش فایل مخرب اولیه رو پیدا کنیم (sha-256)
چون خود فایل تو فایل pcap. نبودش مجبور شدم برم سراغ سایت هایی که فایل های مخرب رو تحلیل میکنن که شاید اونجا پیداشون کنم اول رفتم سراغ any.run چون تحلیلاش بهتره که دیدم با اسم فایل نمیتونم پیداش کنم
بعدش رفتم سراغ hybrid-analysis.com و اینجا تونستم با اسم فایل تحلیلش رو پیدا کنم خیلی سریع sha256 فایل رو برداشتم (847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268) راستی سوال سوم هم حل شدش و تحلیلش رو تو any.run با هش پیدا کردم و رفتم سراغ ادامه کار
دیگه بعد اینجاش گشتن تو سندباکس انلاین any.run هستش که فقط ریپورت رو بررسی کنیم و جوابارو پیدا کنیم
ریپورت(https://any.run/report/847b4ad90b1daba2d9117a8e05776f3f902dda593fb1252289538acf476c4268/a886894d-8ae4-4d59-a990-b59536885da8#i-table-processes-4da0a0b5-235f-4a5d-ad6b-b436b0e71204)
سوال چهارم میپرسه کدوم فرایند فایل مخرب رو اجرا کردش
که جوابش wnoscript.exe هست یه ابزاری برای ران کردن فایل هایی مثل js.
بعدشم سوال پنجم در مورد پسوند فایل مخرب دوم میپرسه که داخل تحلیل نشون داده که اتکر یه پیلود :
%WINDIR%\system32\advapi32.dll
اجرا کرده
و جواب .dll هست
اما اخرین سوال که هش MD5 فایل مخرب دوم رو میخواد
و میریم سراغ Dropped files فایل ها که اونجا دوتا فایل قابل اجرا پیدا میکنیم که یکیش جواب ما قرار باشه :
C:\Users\admin\AppData\Local\Temp\JffleeTicl.dll
و هش md5 اون رو برداریم:
E758E07113016ACA55D9EDA2B0FFEEBE
پایان چالش
میتونستم صرفاً لینک چالش رو بدم و بگم خودتون برید انجامش بدید.
اما خواستم کمی شخصیتر و تعاملیترش کنم تا حس رقابت و کنجکاوی ایجاد بشه و دوستان بیشتری درگیر حلش بشن
GitHub
GitHub - Sh3n0bi/NetForensicAI: NetForensicAI is a Python tool for PCAP analysis, using AI to extract files (PDFs, PNGs), detect…
NetForensicAI is a Python tool for PCAP analysis, using AI to extract files (PDFs, PNGs), detect anomalies, and check threats via VirusTotal. With deep packet inspection and a Plotly Dash dashboard...
🔥10
Forwarded from GO-TO CVE
CVE-2020-0601-week-55.pdf
630.3 KB
🎯 بررسی آسیبپذیری CVE-2020-0601 – جعل CA مثل مایکروسافت!
در هفته ۵۵ از برنامهی GO-TO CVE، سراغ یک آسیبپذیری بسیار خطرناک در زیرساخت ساین دیجیتال ویندوز رفتیم که با نام رسمی Windows CryptoAPI Spoofing Vulnerability شناخته میشه. این باگ در فایل سیستمی Crypt32.dll وجود داشت و به مهاجم اجازه میداد root CA جعلی بسازه که از دید ویندوز معتبر به نظر میرسه – حتی با نام و ظاهر Microsoft!
🔹 Week: 55
🔹 CVE: CVE-2020-0601
🔹 Type: ECC Certificate Spoofing → Signed Malware Execution
🔹 Component: Windows CryptoAPI (Crypt32.dll)
🔹 CVSS: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)
#week_55
در هفته ۵۵ از برنامهی GO-TO CVE، سراغ یک آسیبپذیری بسیار خطرناک در زیرساخت ساین دیجیتال ویندوز رفتیم که با نام رسمی Windows CryptoAPI Spoofing Vulnerability شناخته میشه. این باگ در فایل سیستمی Crypt32.dll وجود داشت و به مهاجم اجازه میداد root CA جعلی بسازه که از دید ویندوز معتبر به نظر میرسه – حتی با نام و ظاهر Microsoft!
🔹 Week: 55
🔹 CVE: CVE-2020-0601
🔹 Type: ECC Certificate Spoofing → Signed Malware Execution
🔹 Component: Windows CryptoAPI (Crypt32.dll)
🔹 CVSS: 8.1 (AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N)
#week_55
⚡11❤2