TryHackMe 歴1ヵ月半が参加する Advent of Cyber 2022 [Day 6]

6日目。

[Day 6] It's beginning to look a lot like phishing

メールの解析。したことはないが丁寧な解説があるので根気強く英語を読んでいく。

What is the email address of the sender?

Urgent:.eml ファイルを Sublime Text で開いて From: の値を確認する。

What is the return address?

Return-Path: の値を確認する。

On whose behalf was the email sent?

1問目と同様、From: の値を確認する。

What is the X-spam score?

X-Pm-Spamscore: の値を確認する。

What is hidden in the value of the Message-ID field?

Message-ID: の値を見ると == で終わっているのでおそらく BASE64エンコードされているのだろう。適当にデコードすると答えが得られる。

What is the reputation result of the sender's email address?

VM 内の FirefoxSimple Email Reputation にアクセスしようとするも……

タイムアウトする。Ping を見てみる。

さてはこやつ、インターネットにつながっていないな!?

ということでローカルで実行する。サイトのフォームには送信者のメールアドレスを入れるだけでよい。

診断結果は以下の通り。

What is the filename of the attachment?

Content-Disposition: に attachment; filename=... とあるのでそのファイル名を答える。

What is the hash value of the attachment?

添付ファイルを取り出すには emlAnalyzer コマンドを使う(in VM)。

mlAnalyzer -i Desktop/Urgent\:.eml --extract-all

実行後、[+] Attachment [1] "Division_of_labour-Load_share_plan.doc" extracted to eml_attachments/Division_of_labour-Load_share_plan.doc とメッセージが出る。eml_attachments ディレクトリを見てみると確かに Division_of_labour-Load_share_plan.doc が存在するのでそのハッシュ値を求める。後の問題で使用するウェブサービスでは SHA256 のハッシュ値を用いて reputation check を行うので SHA256 の値を回答する。

What is the second tactic marked in the Mitre ATT&CK section?

Virus Total へアクセスし、前問で求めたハッシュ値を検証する。

BEHAVIOR タブから下に向かい、Mitre ATT&CK Tactics and Techniques を見る。問題文は What is the second tactic ... であることを考えると……

What is the subcategory of the file?

今度は InQuest へアクセス。同じハッシュ値を用いてチェックする。結果が出るのでそこからハッシュ値をクリックすると Overview を見ることができる。Subcategory はその中に書いてある。

If you want to learn more about phishing and analysing emails, check out the Phishing module!

No answer needed

感想

かっこよくコマンドでキメたいと思う性なので emlAnalyzer を入れようとしたが Docker 云々と出てきたのでやめることに(よくわかんなかっただけ)。というかインストールできてたら問題で添付ファイルを抽出してたから危なかったじゃねーか!ところで昨夜に Advent of Cyber の進捗がゼロに還ったが無事元に戻ったらしい。その件について Discord 見たけど英語のやり取りよくわかんなかったッピ……