HOME»情報処理安全確保支援士掲示板»平成30年秋 午後2問2設問3(7)
投稿する

[0960] 平成30年秋 午後2問2設問3(7)

 ららさん(No.1) 
以下2点教えていただきたいです。
@について、解答は合っていましたが導いた理由は合っているでしょうか?
Aについて、分からなかったので解答の解説をお願いします。

@ファイルの社外への送信の可能性を示す記録
(私の解答)28行目
導いた理由:9/8 3:35にファイルが作成されているため、それ以降のPOSTリクエストだから

A当該記録と併せて見ることによってファイル送信の有無を判断するのに役立つ情報 

以下の点がよく分かりませんでした。
図6にの注記2にあるように、エントリの6項目目は「要求元PCに送信したレスポンスメッセージのサイズ」であるため、IPnのサイト→PC-Aへのレスポンス時のサイズであるということでしょうか?
PC-A→IPnのサイトへの送信サイズは図6に載っていないため、"図6中に示された情報は対象外とする"にも当てはまり、解答となるということでしょうか。
2022.10.07 16:25
pixさん(No.2) 
SC プラチナマイスター
>@ファイルの社外への送信の可能性を示す記録
>(私の解答)28行目
>導いた理由:9/8 3:35にファイルが作成されているため、
>それ以降のPOSTリクエストだから
はい。あっています。
new3.exeはPOSTメソッドを使うとありますので、ファイル作成時以降の
POSTメソッドが解答になります。

>図6にの注記2にあるように、エントリの6項目目は「要求元PCに送信した
>レスポンスメッセージのサイズ」であるため、IPnのサイト→PC-Aへの
>レスポンス時のサイズであるということでしょうか?
はい。

>PC-A→IPnのサイトへの送信サイズは図6に載っていないため、"図6中に
>示された情報は対象外とする"にも当てはまり、解答となるということ
>でしょうか。
はい。あっています。
通常であれば、POSTメソッドの送信サイズは高々1Kバイト程度のサイズと
思われます。
もしPOSTメソッドでファイルを送信するとなると、送信サイズは数Mbyteから
数十Mbyteになり、明らかに大きすぎるサイズが記録されることに
なります。
よって送信サイズはファイル送信の有無を判断するのに重要な情報と
なりえます。
2022.10.07 16:51
 ららさん(No.3) 
pixさん

早速のお返事ありがとうございます。

図6に記載されている数字がIPnのサイト→PC-Aへのレスポンス時のサイズであるということが分かりました。

解答する上で深く考える必要は無いと思いますが、該当レスポンスはなぜサイズが大きいのでしょうか?

ファイルを外部に持ち出したリクエストサイズが大きいのは納得できるのですが…。
2022.10.07 17:40
pixさん(No.4) 
SC プラチナマイスター
図6中のレスポンスのサイズが約35Kバイトの理由を知りたいということでしょうか?
推測になりますが、このレスポンス部分にC&Cサーバからの攻撃指示命令が含まれて
返ってきていると推測されます。

想像になりますが、以下のような形式でレスポンスが返ってくると思われます。
CandCCommand: (base64でエンコードされた大量の文字列)
これをマルウェア側で解析することによって、C&Cサーバからの命令を受け取ります。
2022.10.07 18:02
 ららさん(No.5) 
そうです??
なるほど、もやもやしていた部分がスッキリしました。ありがとうございました!
2022.10.07 23:00

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop