蓝军基础研判系列-实战流量分析(五)

admin 2023年1月29日14:32:53评论41 views字数 1655阅读5分31秒阅读模式

题目地址:malware-traffic-analysis-SPOONWATCH

https://www.malware-traffic-analysis.net/2022/01/07/index.html

数据包基础信息

LAN segment data:
LAN segment range: 192.168.1.0/24 (192.168.1.0 through 192.168.1.255)Domain: spoonwatch.netDomain controller:  192.168.1.2 - SPOONWATCH-DCLAN segment gateway: 192.168.1.1LAN segment broadcast address: 192.168.1.255

根据题目提示,数据包中内网网段为192.168.1.0/24,域控地址为192.168.1.2,网关为192.168.1.1

任务信息

Write an incident report based on the pcap and the alerts.The incident report should contains 3 sections:    Executive Summary: State in simple, direct terms what happened (when, who, what).    Details: Details of the victim (hostname, IP address, MAC address, Windows user account name).    Indicators of Compromise (IOCs): IP addresses, domains and URLs associated with the infection.  SHA256 hashes if any malware binaries can be extracted from the pcap.

需要根据数据包写一个事故调查报告,该报告包含三部分,第一部分介绍什么时间、什么主机、发生了什么时间;第二部分介绍详细的受害主机信息,包含主机名、IP地址、MAC地址、登录用户等;第三部分包含受害主机发起的IOC信息


接下来开始解题


根据题目题目提示说域控地址为192.168.1.2,先过滤出目的地址为192.168.1.2的数据包

蓝军基础研判系列-实战流量分析(五)

根据源IP地址观察基本可以确定内网中受害主机IP地址为192.168.1.216,

该主机的详细信息为

IP地址:192.168.1.216MAC地址:9c:5c:8e:32:58:f9hostname:DESKTOP-GXMYN02.local登录用户:steve.smith

其中登录用户信息通过以下语句过滤

ip.src==192.168.1.216 and samr

蓝军基础研判系列-实战流量分析(五)

接下来过滤源地址为192.168.1.216协议为dns的数据包

ip.src==192.168.1.216 and dns

蓝军基础研判系列-实战流量分析(五)

查看所有数据包的dns请求,没有发现请求恶意域名,接下来过滤源地址为192.168.1.216协议为http的数据包

ip.src==192.168.1.216 and http

蓝军基础研判系列-实战流量分析(五)

发现恶意http请求

http://2.56.57[.]108/osk//*.jpg

时间为Jan  8, 2022 00:07:32.212441000 CST

蓝军基础研判系列-实战流量分析(五)

于是事件报告整理为:

Jan 8, 2022 00:07:32.212441000 CST主机192.168.1.216感染病毒,恶意主机IP地址为192.168.1.216,MAC地址9c:5c:8e:32:58:f9,hostname为DESKTOP-GXMYN02.local,登录用户信息为steve.smith,感染病毒为OskiStealer。

本文数据包以及官网解题报告地址:

https://www.malware-traffic-analysis.net/2022/01/07/page2.html

原文始发于微信公众号(Kali渗透测试教程):蓝军基础研判系列-实战流量分析(五)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月29日14:32:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝军基础研判系列-实战流量分析(五)http://cn-sec.com/archives/1526959.html

发表评论

匿名网友 填写信息