6日目。
[Day 6] It's beginning to look a lot like phishing
メールの解析。したことはないが丁寧な解説があるので根気強く英語を読んでいく。
What is the email address of the sender?
Urgent:.eml
ファイルを Sublime Text で開いて From:
の値を確認する。
What is the return address?
Return-Path:
の値を確認する。
On whose behalf was the email sent?
1問目と同様、From:
の値を確認する。
What is the X-spam score?
X-Pm-Spamscore:
の値を確認する。
What is hidden in the value of the Message-ID field?
Message-ID:
の値を見ると ==
で終わっているのでおそらく BASE64 でエンコードされているのだろう。適当にデコードすると答えが得られる。
What is the reputation result of the sender's email address?
VM 内の Firefox で Simple Email Reputation にアクセスしようとするも……
さてはこやつ、インターネットにつながっていないな!?
ということでローカルで実行する。サイトのフォームには送信者のメールアドレスを入れるだけでよい。
診断結果は以下の通り。
What is the filename of the attachment?
Content-Disposition:
に attachment; filename=... とあるのでそのファイル名を答える。
What is the hash value of the attachment?
添付ファイルを取り出すには emlAnalyzer
コマンドを使う(in VM)。
mlAnalyzer -i Desktop/Urgent\:.eml --extract-all
実行後、[+] Attachment [1] "Division_of_labour-Load_share_plan.doc" extracted to eml_attachments/Division_of_labour-Load_share_plan.doc
とメッセージが出る。eml_attachments ディレクトリを見てみると確かに Division_of_labour-Load_share_plan.doc が存在するのでそのハッシュ値を求める。後の問題で使用するウェブサービスでは SHA256 のハッシュ値を用いて reputation check を行うので SHA256 の値を回答する。
What is the second tactic marked in the Mitre ATT&CK section?
Virus Total へアクセスし、前問で求めたハッシュ値を検証する。
BEHAVIOR タブから下に向かい、Mitre ATT&CK Tactics and Techniques を見る。問題文は What is the second tactic ... であることを考えると……
What is the subcategory of the file?
今度は InQuest へアクセス。同じハッシュ値を用いてチェックする。結果が出るのでそこからハッシュ値をクリックすると Overview を見ることができる。Subcategory はその中に書いてある。
If you want to learn more about phishing and analysing emails, check out the Phishing module!
No answer needed
感想
かっこよくコマンドでキメたいと思う性なので emlAnalyzer を入れようとしたが Docker 云々と出てきたのでやめることに(よくわかんなかっただけ)。というかインストールできてたら問題で添付ファイルを抽出してたから危なかったじゃねーか!ところで昨夜に Advent of Cyber の進捗がゼロに還ったが無事元に戻ったらしい。その件について Discord 見たけど英語のやり取りよくわかんなかったッピ……