Evidence: snort.log.1340504390.pcap
Question: The traffic in this Snort IDS pcap log contains traffic that is suspected to be a malware beaconing. Identify the substring and offset for a common substring that would support a unique Indicator Of Compromise for this activity.
Bonus Question: Identify the meaning of the bytes that precede the substring above.
Dari barang bukti yang diberikan, didalam file pcap tersebut berisi traffic yang ditujukan ke 184.82.188.7. Sulit, ketika clue yang diberikan hanya file pcap dan kata kunci "substring", maka diperlukan analisa pada setiap traffic untuk mendapatkan substring yang dimaksud. Pada saat event berjalan saya tidak yakin dengan jawaban yang saya dapat, saya hanya 'mencurigai' substring tersebut adalah jawaban dari soal terakhir ini. Dari traffic yang ada file tersebut, ada substring di bagian data yang tidak berubah disetiap packet, lihat gambar 1.
Jika diperhatikan, pada setiap traffic terdapat substring yang tidak berubah yaitu "ULQENP2" (yang diwarnai kuning). jadi menurut saya, jawabannya adalah ULQENP2.
Jawaban : ULQENP2, pada offset 0x46
Pertanyaan bonus, apa arti dari substring sebelum "ULQENP2". Pertanyaan bonus ini tidak terjawab, namun saya coba untuk membahasnya dari writeup para peserta lain.
4fe6c274
4fe6c275
4fe6c277
Dikatakan bahwa substring (dalam bentuk hex) diatas merupakan timestamp, namun masih berupa code hex. Code python berikut dibuat untuk konversi hex ke format timestamp.
import datetime import sys print datetime.datetime.utcfromtimestamp(int(sys.argv[1],16))
 |
| Gambar 2: Convert.py |
No comments:
Post a Comment