流量安全分析(八):对Upatre和Dyre病毒报文进行分析

admin 2022年7月12日08:29:13评论97 views字数 761阅读2分32秒阅读模式

场景说明

某一台主机感染了UpatreDyre病毒,已经获取了相关的流量,下面分析相关PACP原始数据报文

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-07-11-traffic-analyse.pcap

分析详情

主机名称、IP地址和MAC地址信息非常容易看到,下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

我们发现相同的信息在DHCP流量中。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

通过过滤http.request关键字Wireshark中,我们会发现在非标准端口的HTTP流量,还有一些不正常的GET请求。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

如果对这些pacp数据报文不熟悉,可以使用SuricataSnort回放现有 PCAP数据报文。下面使用Suricata 安全洋葱。使用Suricata 安全洋葱回放我发现UpatreDyre的报警事件信息。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析
   运行免费版的Snort 2.9.7.3使用免费的Snort subscriberset我们发现关于Upatre的报警。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

Upatre病毒发出http get具有相同的用户代理,这都是虚假的且经常变化。在这种情况下,它关联假冒火狐36.0。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析
流量安全分析(八):对Upatre和Dyre病毒报文进行分析

下图所示的HTTP GET请求应该是Dyre病毒下载额外的有效载荷。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

通过筛选关键字ssl.handshake.certificates,可以通过流量发现Dyre病毒certifcatestypical信息。看以看到如下关键字:国家,州,地区和组织。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

还有一些与此相关的邮件服务器的感染流量。下面,会发现一个邮件服务器试图与它连接并发送一些SYN数据包的DNS请求。下图:

流量安全分析(八):对Upatre和Dyre病毒报文进行分析



欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析(八):对Upatre和Dyre病毒报文进行分析

原文始发于微信公众号(守望者实验室):流量安全分析(八):对Upatre和Dyre病毒报文进行分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月12日08:29:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流量安全分析(八):对Upatre和Dyre病毒报文进行分析http://cn-sec.com/archives/1104520.html

发表评论

匿名网友 填写信息