流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

admin 2022年6月22日12:19:54应急响应评论2 views975字阅读3分15秒阅读模式

2015年8月31日

PCAP of the traffic: 2015-08-31-traffic-analysis-exercise.pcap  8.35 MB (8,350,244 bytes)。下载地址:http://pan.baidu.com/s/1dEaCKvf

场景分析:

windows主机192.168.137.239通过访问vitaminsthatrock.com,遭遇teslaCrypt恶意勒索软件入侵。

分析线索:

首先,下载抓取的报文,用Wireshark打开,筛选http.request。你很快就会看到如下图所示不正常的的HTTP GET请求。如下图:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

第一个HTTP GET请求是登录EK页面。按照TCP流,因此你可以查看到HTTP头,会发现referer:vitaminsthatrock.com。如下图中注明的,通过referer发现从哪个网站链接过来的,如下图:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

继续分析tcp流。我们发现,该HTML的reply是gzip-compressed,如下图:

(Content-Encoding是HTTP协议的响应报文头, gzip:一种格式,也是对deflate进行的封装。)

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

可以通过多种方法提取原始数据报文中的gzip-compressed HTML。

下面使用wireshark工具来演示具体方法。步骤:File --> Export Objects --> HTML 如下图所示:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

下面序号为10719的文件,就是刚才提取的文件(底色为蓝色),如下图:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

保存导出的文件,在文本编辑器中打开它,并搜索EK domain。看如下图所示292位置:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

接下来试着上传pcap报文到VirusTotal网站(一个提供免费的可疑文件分析服务的网站)。文件分析后,我们发现Snort(开源入侵检测系统)和Suricata显示报警信息,如下图:

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

不幸的是,告警信息不能确定exploit kit工具包。Snort的告警事件显示了Sweet Orange EK,但Sweet Orange EK之前就消失了,所以这是一个不同的EK,如下图。

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

进一步分析,请看下篇《流量安全分析(三):teslaCrypt恶意勒索软件入侵(2)》。




欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

原文始发于微信公众号(守望者实验室):流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月22日12:19:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析(三):teslaCrypt恶意勒索软件入侵(1) http://cn-sec.com/archives/1104647.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: