可以知道172.16.1.201是在请求查询netbios名为CARLFORCE的机器。
Type为NB,表示类型是通用名称服务资源记录(注意,RFC中的0x0020就是10进制的32)。
Class为IN,表示类为Internet,一般都是默认的。
然后分析第二条,第二条是对第一条的响应,我们在RFC文档中可以看到有两种响应,一种是主动的。
或者我们从下面这两条数据也可以看出来。
172.16.1.67在查询CARLFORCE,然后172.16.1.67回应172.16.1.4,告诉172.16.1.4CARLFORCE对应着172.16.1.4。
可以说,找到一条不同的name query response就能找到其他ip与name对应的信息。
我们继续往下找看看有没有。
CARLFORCE对应的主机名为172.16.1.4
那么其他主机呢?
现在还剩下
172.16.1.67
172.16.1.89
172.16.1.141
我们知道SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API),也是可以探测到主机名的。
所以我们可以使用剩余的ip加之smb进行过滤。
Ip:172.16.1.67
主机名:jersey-shore-1a
用户名:master.shake
Ip:172.16.1.89
主机名:jersey-shore-2d
用户名:frylock
Ip:172.16.1.141
主机名:jersey-shore-1f
用户名:carl.brutananandilews
Ip:172.16.1.201
主机名:newark-1a
用户名:meatwad
点击保存即可,然后打开
有前几次的分析经验,我们这次也首先来过滤出http.request
我们看到这种数据有没有四层相识的感觉?
我们在“恶意流量分析训练二”中碰到过这种流量,如下所示(在附件中已经给出)
可以看到我们的流量也有连续发起两次相同GET请求的特征,所以我们猜测可能是感染了Emotet
或者我们从给出的告警日志中也可以看出来
在此处可以看到分析详情https://www.joesandbox.com/analysis/38705/0/executive,部分截图如下
把这个域名在搜索引擎中查询,可以看到在线沙箱网站分析出这是恶意链接
Ip:172.16.1.67
主机名:jersey-shore-1a
用户名:master.shake
感染了Emoter malware
Ip:172.16.1.89
主机名:jersey-shore-2d
用户名:carl.brutamamamdolews
感染了NonoCore RAT malware
Ip:172.16.1.141
主机名:jersey-shore-1f
用户名:carl.brutananandilews
感染了Tempedreve malware,恶意文件可能是21Payment Slip.exe
Ip:172.16.1.201
主机名:newark-1a
用户名:meatwad
感染了Globelposter malware
版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104178891
没有专业运营团队,纯个人凭着空闲时间的学习,通过网络搜集与学习整理的资料记录并分享。
如果觉得文章对你有帮助,请支持下点击右下角“在看”
本文始发于微信公众号(LemonSec):恶意流量分析训练四
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论