第二届“长城杯”铁人三项赛应急响应分析教学文档

第二届“长城杯”铁人三项赛应急响应分析教学文档 1. 比赛背景与题目概述 本次比赛题目围绕网络安全应急响应场景设计，模拟公司主机发现异常外联信息的情况。参赛者需要通过分析找出木马、追踪攻击源头并获取攻击者主机权限。题目分为7个任务，涵盖应急响应、逆向分析和渗透测试等多个方面。 2. 题目详细解析 题目1：找出木马回连的主控端服务器IP地址 任务要求 ：找出主机上木马回连的主控端服务器IP地址[ 不定时(3~5分钟)周期性 ]，以flag{MD5}形式提交，其中MD5加密目标的原始字符串格式IP:port。 解题步骤 ： 全局搜索IP地址，发现192.168.57.203和端口8080 进一步分析木马加载器，发现实际端口应为4948 组合IP和端口为"192.168.57.203:4948" 计算MD5： echo -n "192.168.57.203:4948" | md5sum 提交flag： flag{59110f555b5e5cd0a8713a447b082d63} 关键点 ： 不要轻信初步搜索结果，需深入分析 木马加载器的函数名可能被混淆，增加分析难度 题目2：找出远控木马文件本体 任务要求 ：找出主机上驻留的远控木马文件本体，计算该文件的MD5，结果提交形式：flag{md5}。 解题步骤 ： 通过木马加载器查找相关线索 搜索与system有关的可疑文件名 在镜像中搜索匹配的文件 计算找到的木马文件MD5 提交flag： flag{bccad26b665ca175cd02aca2903d8b1e} 关键点 ： 木马加载器通常会引用或执行木马本体 关注系统相关函数调用 题目3：找出持久化程序（下载者） 任务要求 ：找出主机上加载远控木马的持久化程序（下载者），计算该文件的MD5。 解题步骤 ： 检查历史命令，发现ping过两个IP地址 根据IP地址匹配找到可疑文件 分析确认其为下载并执行远控木马的程序 计算文件MD5 提交flag： flag{78edba7cbd107eb6e3d2f90f5eca734e} 关键点 ： 历史命令记录是重要线索来源 下载者程序通常具有网络访问和执行功能 题目4：查找持久化程序的植入痕迹 任务要求 ：查找题目3中持久化程序的植入痕迹，计算持久化程序植入时的原始名称MD5（仅计算文件名称字符串MD5）。 解题步骤 ： 发现被删除的1.txt文件包含可疑内容 提取其中的文件名信息 计算文件名字符串的MD5 提交flag： flag{9729aaace6c83b11b17b6bc3b340d00b} 关键点 ： 关注被删除的文件内容 IDA分析可发现wget等下载命令痕迹 题目5：分析远控木马获取通信加密密钥 任务要求 ：分析题目2中找到的远控木马，获取木马通信加密密钥。 解题步骤 ： 分析木马文件，发现加密相关代码段 定位到密文数据(unk_ XXXX) 跟踪交叉引用找到解密函数 发现每个字符异或0x69的解密方式 提取或推导出通信密钥 提交flag： flag{ThIS_1S_th3_S3cR3t_fl@g} 关键点 ： 不要假设密钥是明文的 关注异或等简单加密方式 交叉引用分析是关键 题目6：获取分发服务器权限 任务要求 ：分析题目3中持久化程序，找到攻击者分发远控木马使用的服务器，并获取该服务器权限。 提示 ：压缩包密码最后一位为. 解题思路 ： 分析下载者程序，寻找分发服务器信息 可能涉及mirror网站或其他分发渠道 需要渗透测试技能获取服务器权限 注意压缩包密码提示 题目7：获取主控端服务器权限 任务要求 ：获取题目2中找到的远控木马的主控端服务器权限，查找flag文件。 解题思路 ： 结合题目1找到的IP地址 对主控端服务器进行渗透 可能需要利用木马通信协议中的漏洞 获取服务器权限后查找flag文件 3. 技术要点总结 应急响应流程 ： 从外联信息入手 追踪到木马本体 逆向分析木马行为 追踪攻击源头 分析技巧 ： 全局搜索与深度分析结合 历史命令记录分析 被删除文件恢复与分析 函数交叉引用追踪 逆向分析重点 ： 混淆函数名的分析 加密算法识别(如简单异或) 网络通信相关函数 持久化机制分析 渗透测试方向 ： 分发服务器识别 主控端服务器渗透 权限提升与维持 4. 比赛经验总结 题目顺序设计合理，从前到后难度递增 前两题聚焦木马本身，中间两题关注加载机制 第五题涉及基础逆向分析技能 最后两题需要渗透测试能力 团队协作很重要，合理分工提高效率 5. 推荐练习方向 应急响应实战演练 恶意软件分析基础 逆向工程技能提升 渗透测试技术实践 团队协作与分工配合 通过本次比赛题目的系统分析，可以全面锻炼网络安全应急响应、恶意代码分析和渗透测试的综合能力。建议按照题目顺序逐步练习，掌握每个环节的关键技术点。