流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

admin
admin
admin
138985
文章
114
评论
2022年7月8日15:49:02评论296 views字数 975阅读3分15秒阅读模式

1、相关的文件:

  • 原始数据报文:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise.pcap   14.2 MB(14184370字节)

  • 入侵检测系统Snort的事件TXT文件:http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-snort-events.txt   24.0 KB(24009字节)

  • 入侵检测系统Suricata事件的TXT文件:  http://www.watcherlab.com/file/download/2016-01-07-traffic-analysis-exercise-suricata-events.txt     suricata-events.txt   529.8 KB(529780字节)

2、安全告警

在监控平台上发现3个主机IP几分钟内多次告警。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

下面场景用Wireshark软件进行分析;  第一个IP没有遭受攻击;第二个IP发现了恶意邮件;第三个IP遭受加密勒索病毒攻击。

3、深入分析:

3.1前期准备

因为要分析3个不同IP,让我们把数据报文PCAP文件分隔成3个独立的文件。在Wireshark中打开原始PCAP后,进入对话菜单如下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

 选择IPv4选项卡,然后进行排序地址排序,然后你会看到192.168.122.52、192.168.122.130和192.168.122.132三个IP地址自动归类排序,如下图:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

在对话框中输入:ip.addr eq 192.168.122.52可以过滤仅有192.168.122.52的数据,如下图所示(其他2个IP相同方法过滤):

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

导出过滤的仅包含192.168.122.52的数据包,如命名为:192.168.122.52-traffic.pcap,下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

把3个IP保存成3个独立的PCAP文件,这样更容易检查每个主机的流量,下图所示:

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

 下面是双击单个数据报文,进去可以看到每个IP的对应得主机名和MAC地址。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)
流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

未完待续!





欢迎关注守望者实验室,我们会不定期推出一些安全场景分析技术类文章。

流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

原文始发于微信公众号(守望者实验室):流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日15:49:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   流量安全分析:恶意邮件&加密勒索病毒攻击分析(1)https://cn-sec.com/archives/1104678.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息