某单位的威胁研究团队一直在跟踪发送垃圾电子邮件传播的恶意软件Hancitor。然而,这款软件已在多年的发展中得到了“进化”。Hancitor也被称为Chanitor或Tordal,是一个基于宏的恶意软件。一种方式会通过发送附件含Microsoft Office的邮件进行传播;另一种方式Hancitor也被设计为充当其他恶意软件的下载器,最终通过其他恶意软件感染Windows计算机。本次追踪的事件中,由于公司主机已经中招了恶意软件Hancitor,Hancitor会利用另一个 Windows 可执行文件发送垃圾邮件。据研究人员分析,该可执行文件是基于 Send-Safe 的垃圾邮件恶意软件。Send-Safe是一个批量电子邮件程序,允许您从自己的计算机或远程计算机发送电子邮件,无论是否使用代理。该程序已被各种威胁行为者用作恶意软件,将受感染的 Windows 计算机变成垃圾邮件主机。目前,研究人员已经提取了此次事件的pcap流量包,请协助研究人员解答以下问题。
1.受感染Windows主机的IP地址是多少?
答:10.2.10.101
通过流量分析,发现大部分的数据都被加密了,只有这还可以追踪tcp流。
右击追踪tcp流。可以看到info的相关信息
2.受感染Windows主机的主机名是什么?
答:DESKTOP-TRH50EJ
3.受感染Windows主机上的用户帐户名是什么?
答:dave.thomas
4.Hancitor在此事件中下载的恶意软件的域名是什么?
答:backupez.com
向backupez.com发送一个get请求,去下载一个47.exe的文件
5.Hancitor在此事件中下载的恶意软件的域名包含的软件名字是什么?
答:47.exe
6.该恶意软件的sha1哈希值是多少?
答:EEC4F17A35AC5D1B4EC5848E6F7AA4AE42545CA8
7.请问该pcap包受Send-Safe感染发送的垃圾邮件总共多少封?
答:167
在前面知道下载47.exe是通过发送get请求backupez.com下载47.exe,接着流量就指向了ip是31.44.184.47端口50025的流量。
搜下tcp.port 50025的端口,发现了一条带有证书的流量。
进入观察,发现该证书的type id 11。结合之前指向的ip:31.44.184.47,精准搜索。
查看流量分析,引起 TCP 端口 50025 上的 HTTPS 流量,使用的是以Send-Safe作为组织名称和commonName 的证书颁发者数据。
接着查看发送安全 SMTP 流量和 HTTPS 流量,这里可以看到给大量邮箱发送数据。
由于此 pcap 中的 SMTP 流量未加密,因此您可以使用 Wireshark 提取电子邮件。菜单路径为File --> Export Objects --> IMF,save all。可以看到导出本地有167封邮件。
8.根据导出来的邮件,请问在这些邮件中,KeyCorp Platform Notice(17).eml这封邮件中,Get authentication document跳转的地址链接是什么?
答:https://docs.google.com/document/d/e/2PACX-1vSdtRZV6zVmSOZQjRwCpTdiUB5choS6e0MK5fZ-pCOlsyg_3IQSVr5G9oMXmhmCgflZV4BIsdAanrqG/pub
本地用foxmail打开,右击Get authentication document复制链接即可。
// _ooOoo_// o8888888o// 88" . "88// (| -_- |)// O = /O// ____/`---'____// . ' \| |// `.// / \||| : |||//// / _||||| -:- |||||-// | | \ - /// | |// | _| ''---/'' | |// .-__ `-` ___/-. /// ___`. .' /--.-- `. . __// ."" '< `.____<|>_/___.' >'"".// | | : `- `.;` _ /`;.`/ - ` : | |// `-. _ __ /__ _/ .-` / /// ======`-.____`-.________/___.-`____.-'======// `=---='//// .............................................// 佛祖保佑 年底了各位大佬结结款
原文始发于微信公众号(零漏安全):最新【0DAY 】通杀级漏洞速报
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论