Проаналізуйте пейлоад та визначте назви змінних, що використовувались у скрипті (3) для визначення нового піддомену.

P.S: Для відповіді потрібно вводити назви змінних без “$” в порядку їх використання. Зверніть увагу: відповідь чутлива до регістру!

За допомогою TLS fingerprint дізнайтесь фреймворк, який було використано зловмисником

Визначте JA3S. Це хеш-значення допоможе вам в атрибуції зловмисника. Реально. Hint: будь ласка, не потрібно рахувати це значення самостійно

Знайшли? Перевіримо, чи ви знайшли саме той файл - порахуйте його sha256

Якою була C2 команда, використана для запуску процесу. Зверніть увагу: відповідь чутлива до регістру!

Після того, як пейлоад був отриманий, жертва змінила шаблон піддоменів, що резолвився жертвою. Назвіть цей домен повністю

Всі ми знаємо порядок встановлення TLS сесій, чи не так? Скільки крипто-алгоритмів було запропановано клієнтом та який саме набір крипто-алгоритмів було обрано сервером?

Скільки всього унікальних VLAN можна знайти в файлі трафіку?

Нижче наведений фрагмент з журналу аудиту HoneyPot, який був розміщений на lab.wiretrip.net. Snort повідомили про атаки Unicode з адреси 213.11.251.162. Вразливість File Permission Canonicalization (атака Unicode) дозволяє запускати скрипти у довільних папках. Атакуючий намагається провести атаку Unicode і врешті-решт отримує доступ до boot.ini.  Потім він намагається використати RDS через msadcs.dll. Вразливість RDS дозволяє зловмиснику створити SQL-запит, через який будуть виконуватись команди оболонки (наприклад, cmd.exe) на сервері IIS. Зловмисник робить швидкий запит, щодо існування теки, і запит до MSADCS.dll показує, що він працює правильно. Атакуючий робить запит RDS, який призводить до запуску команд, як показано нижче. Який можна зробити висновок з наведеного фрагмент з журналу аудиту HoneyPot?

Скільки унікальних піддоменів знадобилось зловмиснику, щоб захостити пейлоад повністю (враховуються НЕ нульові записи)?

dns.pcap

Формат прапору: vdp{3}