[THM][Note] Phishing Analysis Tools
https://tryhackme.com/room/phishingemails3tryoe
Task3
What is the official site name of the bank that capitai-one.com tried to resemble?
考え方)
- 対象となる「capitai-one」をグーグルで検索してみる。
- 本物のサイトが出てくる。
Task7
What brand was this email tailored to impersonate?
考え方)
- 「Phish3Case1-.eml」が対象のファイル。
- このファイルをThunderBirdで開く。
What is the originating IP? Defang the IP address.
考え方)
- ヘッダーをよく確認する。
From what you can gather, what do you think will be a domain of interest? Defang the domain.
考え方)
- 相手のドメインはなにか?と聞いているので、ヘッダーをよく見る。
What is the shortened URL? Defang the URL.
考え方)
- リンクになっている箇所を右クリック。
- くれぐれもクリックしてリンク先を開かないように注意。
- デファング記法とのことなので、CyberChefを使用すると便利。
- 「Operations」のしたの「Serch」に、「url」と入れる。
- 「Defang URL」のメニューが出てくるのでダブルクリック
- 「Input」に対象のURLを入力。
- 「Output」にデファングされたURLが表示される。
Task8
What does AnyRun classify this email as?
考え方)
- AnyRunになれるつもりで画面操作を試してみる。
What is the SHA 256 hash for the PDF file?
考え方)
What two IP addresses are classified as malicious? Defang the IP addresses. (answer: IP_ADDR,IP_ADDR)
考え方)
What Windows process was flagged as Potentially Bad Traffic?
考え方)
Task9
What domains are listed as malicious? Defang the URLs & submit answers in alphabetical order. (answer: URL1,URL2,URL3)
考え方)
What vulnerability does this malicious attachment attempt to exploit?
考え方)
- 「What vulnerability」が、「CVE」だと翻訳できるとわかりやすい。
