流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

admin 2022年7月8日15:49:02应急响应评论1 views975字阅读3分15秒阅读模式

1、相关的文件:

  • 原始数据报文:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise.pcap   14.2 MB(14184370字节)

  • 入侵检测系统Snort的事件TXT文件:http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-snort-events.txt   24.0 KB(24009字节)

  • 入侵检测系统Suricata事件的TXT文件:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-suricata-events.txt     suricata-events.txt   529.8 KB(529780字节)

2、安全告警

在监控平台上发现3个主机IP几分钟内多次告警。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

下面场景用Wireshark软件进行分析;  第一个IP没有遭受攻击;第二个IP发现了恶意邮件;第三个IP遭受加密勒索病毒攻击。

3、深入分析:

3.1前期准备

因为要分析3个不同IP,让我们把数据报文PCAP文件分隔成3个独立的文件。在Wireshark中打开原始PCAP后,进入对话菜单如下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

 选择IPv4选项卡,然后进行排序地址排序,然后你会看到192.168.122.52、192.168.122.130和192.168.122.132三个IP地址自动归类排序,如下图:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

在对话框中输入:ip.addr eq 192.168.122.52可以过滤仅有192.168.122.52的数据,如下图所示(其他2个IP相同方法过滤):

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

导出过滤的仅包含192.168.122.52的数据包,如命名为:192.168.122.52-traffic.pcap,下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

把3个IP保存成3个独立的PCAP文件,这样更容易检查每个主机的流量,下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

 下面是双击单个数据报文,进去可以看到每个IP的对应得主机名和MAC地址。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

未完待续!





欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

原文始发于微信公众号(守望者实验室):流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日15:49:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  流量安全分析:恶意邮件&加密勒索病毒攻击分析(1) http://cn-sec.com/archives/1104678.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: