توضیحات چالش: Incident Response – Shadow in the Binary
در این سناریو، یک فایل اجرایی مشکوک (نسخهای از برنامه ۷-Zip) در یکی از سیستمهای سازمان شناسایی شده است.
بررسیهای اولیه نشان میدهد که این فایل از نسخه اصلی و سالم برنامه تغییر یافته و احتمالاً در جریان اجرای خود اقدام به برقراری ارتباط غیرمجاز با یک مقصد خارجی کرده است.
وظیفه شما به عنوان تحلیلگر تیم آبی:
بررسی دقیق ساختار باینری فایل و شناسایی تغییرات در بخشهای اجرایی (Code Section).
مقایسه اندازه و محتوای بخشهای حساس نسبت به نسخه سالم.
شناسایی آدرس IP و پورت مقصد که فایل سعی در برقراری ارتباط با آن دارد.
راهنما:
تحلیل را در یک محیط امن (Sandbox یا VM) انجام دهید تا از هرگونه آسیب احتمالی جلوگیری شود. (استفاده از ویندوز 7 نسخه 32 بیت فاقد مکانیزم ASLR)
استفاده از روشها و ابزارهای تحلیل استاتیک و دینامیک آزاد است.
هدف این چالش، ارزیابی توانایی شما در تحلیل بدافزار، شناسایی اثرات تغییر در فایلهای اجرایی، و کشف نشانههای ارتباطات مشکوک است.
درصد پیشرفت حل چالش
0%
