Sample Files

In dieser Aufgabe wird eine komplexe Schadsoftware aus dem Umfeld der Cyberkriminalität entpackt und analysiert. 1. Zur Untersuchtung steht das Asservat mit der folgenden SHA-256 Prüfsumme: ``` ad320839e01df160c5feb0e89131521719a65ab11c952f33e03d802ecee3f51f ``` Wir empfehlen hier einen **top-down** Ansatz, um einen Shellcode zu identifizieren, der für das Laden der nächsten Phase verantwortlich ist. Es kommt sehr viel Junk Code zum Einsatz, den es zu umschiffen gilt. 2. Analysiere den Shellcode und extrahiere die nächste Phase statisch. Die folgenden Analysehindernisse kommen vor: - Der Shellcode löst Windows API Funktionen dynamisch auf. - Der Shellcode entschlüsselt die nächste Phase mit einem nicht-standard Algorithmus. - Es passiert noch mehr. 3. Wir haben nun erfolgreich das Asservat mit der folgenden SHA-256 Prüfsumme extrahiert: ``` 25e9af3dd5f04e33b54f562cf6db864e0406e3752c2283d0c4ff6907038da3e2 ``` Bestimme den Funktionsumfang und extrahiere alle relevanten Indikatoren (C2 Adresse, Dateinamen, Kryptographische Geheimnisse).