← Início D1 D2 D3 D4 D5

Desafio 5 — A Campanha Difícil · 300pts

Você recebeu 3 artefatos coletados durante uma investigação de phishing em larga escala contra servidores públicos do estado. Correlacione os artefatos e reconstrua a campanha completa.

💡 Dica: Correlacione o IP do cabeçalho do e-mail com o log do servidor e com o domínio do site.

Artefato A — Cabeçalho de E-mail

X-Originating-IP: 185.220.101.47 From: rh@ssp-estado.gov-br.info Subject: [RH] Atualização cadastral obrigatória — prazo: 48h Date: Wed, 12 Jun 2024 08:45:00 -0300 Message-ID: <campaign-batch-3@gov-br.info> X-Mailer: Gophish

Artefato B — Log do Servidor Web

185.220.101.47 - - [12/Jun/2024:09:02:14 -0300] "GET /atualizar-cadastro HTTP/1.1" 200 4823 185.220.101.47 - - [12/Jun/2024:09:02:15 -0300] "POST /coletar.php HTTP/1.1" 200 312 10.0.45.23 - - [12/Jun/2024:09:15:44 -0300] "GET /atualizar-cadastro HTTP/1.1" 200 4823 10.0.45.23 - - [12/Jun/2024:09:15:48 -0300] "POST /coletar.php HTTP/1.1" 200 312 10.0.45.23 - - [12/Jun/2024:09:15:49 -0300] "GET /sucesso HTTP/1.1" 200 891

Artefato C — WHOIS do Domínio

Domain: gov-br.info Registrar: Namecheap, Inc. Registered: 2024-06-01 (11 dias antes do ataque) Registrant: REDACTED FOR PRIVACY Name Servers: ns1.afraid.org ns2.afraid.org IP: 185.220.101.47 (Frantech Solutions — Holanda — AS206092) Status: clientTransferProhibited

Pergunta: Com base nos 3 artefatos, responda:
1. Qual ferramenta foi usada para disparar os e-mails?
2. Qual IP pertence à vítima que caiu no phishing?
3. Quantos dias antes do ataque o domínio foi registrado?

A flag está nos comentários do Artefato C.