Slide 6
Slide 6 text
動作環境も、お手軽
■WireShark(pcapを読める環境)さえあればできるよ(‘ω’)ノ
⇒Linuxではなく、WindowsとNetworkの知識が問われる
の知識も不要(バイナリファイル)
■事前準備
・WireShark
・テキストエディタ(『Sakuraエディタ』や『秀丸』など)
・SHA256ハッシュツール(『HashMyFiles』、WSLの『sha256sum』など)
★注意点
・実際のインシデントを想定しており、pcapファイルに含まれるマルウェア
は本物(ハッシュ値をVirutTotalやHybrid-Analysisで照合するため)
・問題のzipに含まれるマルウェアのexeファイルも本物
⇒zipファイルを展開する場所を、ウイルス対策ソフトから除外設定
※ただし、C2サーバはすでにテイクダウンされていると思われます