流量安全分析(五):如何通过流量线索进行恶意程序感染分析

admin 2022年7月18日06:33:00应急响应评论11 views840字阅读2分48秒阅读模式

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)


场景说明:

我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。

流量安全分析(五):如何通过流量线索进行恶意程序感染分析


场景详细分析:

用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

可以看到除了一些http GET和POST请求,没有其他发现。见下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析
        通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

而这里的报告,我们注意到它有评论。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析
        多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里,一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

这到底是什么恶意软件?也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图:

流量安全分析(五):如何通过流量线索进行恶意程序感染分析




欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析(五):如何通过流量线索进行恶意程序感染分析

原文始发于微信公众号(守望者实验室):流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月18日06:33:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析(五):如何通过流量线索进行恶意程序感染分析 http://cn-sec.com/archives/1104608.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: