恶意流量分析训练三

  • A+
所属分类:安全文章

了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。

试根据给出的数据包等文件,分析解答如下问题
Q1:用户的姓名?
Q2:用户windows机器的主机名
Q3:用户windows主机的ip地址?

Q4:用户电脑的mac地址?

Q5:用户被感染了哪些恶意文件?


打开wireshark上方的菜单,统计->ipv4 statics->all address,如图所示

恶意流量分析训练三


可以看到通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136
那么主机名该如何找到呢?我们先来看看数据包都有哪些协议。

恶意流量分析训练三

我们知道NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名。

所以选中一条nbns的数据。

恶意流量分析训练三

红框定位的就是mac地址及主机名

那么使用者的姓名呢?

在电脑自带的通信过程中,一般人是不会设置完整的姓名的,题目既然这么问说明要从其他地方入手,比如用户在网站注册,或者他的邮件的名字,都有可能是姓名,所以我们尝试过滤出http请求数据。

过滤后的数据也不多,往下翻就可以看到。

恶意流量分析训练三

出现了signup的关键字
我们跟踪其tcp流

恶意流量分析训练三

可以看到post的最后一行发现了姓名。



接下来我们分析下用户感染了哪些恶意软件,以及如何被感染的。
可以看到在用户注册之后,紧接着是google analytics,这是Google开发的网站流量跟踪工具。

恶意流量分析训练三

然后后面就出现了一些奇怪的http get 和 post请求
针对第一条get


恶意流量分析训练三

将full request uri右键-》复制-》值,然后再搜索引擎中查询。

恶意流量分析训练三

可以看到这是恶意软件
而这条链接分析博客的分析是恶意脚本下载的源链接,其模式与博客给出的其他链接相同。

恶意流量分析训练三

最后指出这是Locky Malware
后面的post请求是用户被感染之后访问其他网页产生的流量。


那么只有感染这一个恶意软件吗?
我们再继续分析,往下翻

恶意流量分析训练三

看到了.top域名,这就要非常敏感了,很多恶意软件都会去注册使用.top
选中第一条get,跟踪tcp流

恶意流量分析训练三

可以看到referer信息,referer表示是从该页面链接过来的,所以此处的话表明用户访问正常的网页http://www.emidioleite.com........然后被定向访问到了.top。
接下来结合snort日志分析,根据目的ip去日志中检索。

恶意流量分析训练三

可以看到snort检测到是属于Angler exploit-kit发起的攻击,后面还提示是landing page,那么一定会传递载荷
我们进一步分析其他的tcp流

恶意流量分析训练三

可以看到传递了大约443k的载荷文件
我们通过搜索引擎检索到第一篇捕捉到该攻击的推文

恶意流量分析训练三

所以就可以推测这443k的文件就是伪装成swf格式的flash文件。
 
继续往下看看剩余有没有可疑的流量。
在最后的一系列post userinfo.php这种用户正常访问的额流量之前我们有看到了奇怪的流量。

恶意流量分析训练三

跟踪tcp流,可以看到这个referer,说明也是从其他网页链接过来的。

恶意流量分析训练三

去snort日志了按照目的ip检索。

恶意流量分析训练三

可以看到也是Angler Exploit-Kit
不过这次的攻击手法是什么呢?
我们取消过滤条件,看看。

恶意流量分析训练三

接下来我们要有侧重点,因为实际攻击中ip是可能动态变化的,而一般端口是不会变得,所以我们的办法就是在source ip为10.0.21.136时,看看目的端口有哪些。

恶意流量分析训练三

可以看到主要是80和443
接下来结合关键字Agnler exploit-kit一起去搜索引擎搜索。

恶意流量分析训练三

点击查看,关键信息如下。

恶意流量分析训练三

可以看到与443,80有关的通信是由于Crypt ransomware。
从文章的分析思路中可以看到Crypt ransomware是由Angler EK派生的。

恶意流量分析训练三

所以我们就可以得出结论了:
用户受到了三次感染,第一次是来自malware spam的Locky ransomware,第二次是Angler EK的文件(由分析文章推知是伪装的swf文件),第三次是Angler EK的CryptXXX ransomware。
.net

版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104178847


如果觉得文章对你有帮助,请点击右下角“在看”

恶意流量分析训练三

本文始发于微信公众号(LemonSec):恶意流量分析训练三

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: