Sample Files

In dieser Aufgabe wird eine komplexe Schadsoftware aus dem Umfeld der Cyberkriminalität entpackt und analysiert. 1. Zur Untersuchtung steht das Asservat mit der folgenden SHA-256 Prüfsumme: ``` ad320839e01df160c5feb0e89131521719a65ab11c952f33e03d802ecee3f51f ``` Wir empfehlen hier einen **top-down** Ansatz, um einen Shellcode zu identifizieren, der für das Laden der nächsten Phase verantwortlich ist. Es kommt sehr viel Junk Code zum Einsatz, den es zu umschiffen gilt. 2. Analysiere den Shellcode und extrahiere die nächste Phase statisch. Die folgenden Analysehindernisse kommen vor: - Der Shellcode löst Windows API Funktionen dynamisch auf. - Der Shellcode entschlüsselt die nächste Phase mit einem nicht-standard Algorithmus. - Es passiert noch mehr. 3. Wir haben nun erfolgreich das Asservat mit der folgenden SHA-256 Prüfsumme extrahiert: ``` 25e9af3dd5f04e33b54f562cf6db864e0406e3752c2283d0c4ff6907038da3e2 ``` Bestimme den Funktionsumfang und extrahiere alle relevanten Indikatoren (C2 Adresse, Dateinamen, Kryptographische Geheimnisse). 4. (Zusatzaufgabe) Eine der C2 URLs aus Teil 3 wurde zu einer Online-Sandbox zur Analyse geschickt und dort wurde als Antwort eine Datei mit der folgenden SHA-256 Prüfsumme ausgeliefert: ``` 3530b085f7de6d275ed7ac948ece7a463393a55f6c371456b9dc4c6f0da01f8c ``` verwende dein Wissen über die in Teil 3 analyiste Malware um diese Daten zu entschlüsseln. Um welche Malware-Familie handelt es sich bei der entschlüsselten Datei?