流量安全分析(六):通过流量分析某用户机器感染木马程序

admin 2022年7月8日15:49:24应急响应评论8 views563字阅读1分52秒阅读模式

场景

       某用户电脑使用起来有些反常,怀疑是被黑,但是无法提供其他任何信息。我们可以拿到之前保存的相关时间段和该服务器的流量进行分析。首先取出相关的PCAP数据报文

       原始数据报文:

http://www.watcherlab.com/file/download/2015-02-08-traffic-analysis-exercise


详细分析

用Wireshark工具打开相关数据报文。通过设置http.request 关键字进行过滤,可以看到如下信息:

流量安全分析(六):通过流量分析某用户机器感染木马程序

可以先通过谷歌搜索项目图片中的两个域名开是否有发现。查看下图第一条搜索结果:你可以看到有相同的网络流量提交到malwr.com网站。查看第三条搜索:还可以从TechHelpList.com博客条目中发现讨论相同的URLs在。可以打开查看相关的信息报告。

流量安全分析(六):通过流量分析某用户机器感染木马程序

在google上有了这些信息报告,我们可能不需要运行Snort或运行安全洋葱PCAP产生的EmergingThreats事件来证实该电脑被入侵了:

流量安全分析(六):通过流量分析某用户机器感染木马程序

最终确认该电脑用户收到了带有Dyreza banking 木马程序的恶意邮件,并且打开了相关附件,使电脑感染了病毒。通过电子邮件日志搜索可以看到该用户收到该恶意电子邮件。

原文始发于微信公众号(守望者实验室):流量安全分析(六):通过“流量”分析某用户机器感染木马程序

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日15:49:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析(六):通过流量分析某用户机器感染木马程序 http://cn-sec.com/archives/1104587.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: