流量安全分析(八):对Upatre和Dyre病毒报文进行分析

admin 2022年7月12日08:29:13应急响应评论2 views761字阅读2分32秒阅读模式

场景说明

某一台主机感染了UpatreDyre病毒,已经获取了相关的流量,下面分析相关PACP原始数据报文

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-07-11-traffic-analyse.pcap

分析详情

主机名称、IP地址和MAC地址信息非常容易看到,下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

我们发现相同的信息在DHCP流量中。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

通过过滤http.request关键字Wireshark中,我们会发现在非标准端口的HTTP流量,还有一些不正常的GET请求。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

如果对这些pacp数据报文不熟悉,可以使用SuricataSnort回放现有 PCAP数据报文。下面使用Suricata 安全洋葱。使用Suricata 安全洋葱回放我发现UpatreDyre的报警事件信息。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析
   运行免费版的Snort 2.9.7.3使用免费的Snort subscriberset我们发现关于Upatre的报警。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

Upatre病毒发出http get具有相同的用户代理,这都是虚假的且经常变化。在这种情况下,它关联假冒火狐36.0。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析
流量安全分析(八):对Upatre和Dyre病毒报文进行分析

下图所示的HTTP GET请求应该是Dyre病毒下载额外的有效载荷。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

通过筛选关键字ssl.handshake.certificates,可以通过流量发现Dyre病毒certifcatestypical信息。看以看到如下关键字:国家,州,地区和组织。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

还有一些与此相关的邮件服务器的感染流量。下面,会发现一个邮件服务器试图与它连接并发送一些SYN数据包的DNS请求。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析



欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

原文始发于微信公众号(守望者实验室):流量安全分析(八):对Upatre和Dyre病毒报文进行分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日08:29:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析(八):对Upatre和Dyre病毒报文进行分析 http://cn-sec.com/archives/1104520.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: