Устройство было заражено вредоносным программным обеспечением класса Stealer/Spyware, которое периодически связывается или пытается связаться с C&C сервером. Вам предоставлен дамп сетевого трафика с этого устройства. Необходимо найти адрес, на который стучится данное ПО для выгрузки информации и убедиться, что сетевой объект действительно представляет опасность (например, на VT). По предварительной информации известно, что в названии этого адреса множество символов в виде цифр. Результатом будет являться найденный адрес.
Вторая часть.
В результате функционирования неизвестного вредоносного программного обеспечения на устройстве, от системы оповещения о кибератаках поступило уведомление о том, что с устройства была передана некая секретная информация. Исходя из первичного анализа выяснено, что первоначальная точка входа (первоначальное отправленное значение с устройства) является значением, закодированным по алгоритму base64, а итоговое значение зашифровано алгоритмом RC4. Вам предоставлен дамп сетевого трафика с этого устройства. Необходимо выяснить, какое именно значение было зашифровано алгоритмом RC4 и отправлено с устройства.
Примечания:
* Необходимо помнить, что в таких средствах анализа сетевого трафика, как Wireshark, данные пакета, представленные в ASCII, могут визуально сдвигаться, в связи с этим после того, как Вы обнаружите нужное base64 значение или RC4 шифротекст, необходимо спереди убрать 1 символ
* После получения ключа (фразы) для дешифрования RC4 шифротекста, необходимо сначала применить небольшой bruteforce к этой фразе: нужно найти перед каким словом в этой фразе добавить символ пробела
Опубликован 14.08.2025 в 21:47
Заказ находится в архиве