蓝军基础研判系列-实战流量分析(八)

admin 2023年3月12日20:24:22评论54 views字数 1834阅读6分6秒阅读模式

题目地址:malware-traffic-analysis-October-2021-Forensic-Contest

https://isc.sans.edu/diary/October+2021+Contest+Forensic+Challenge/27960

任务信息

#原文This month's challenge is based on a packet capture (pcap) of an Active Directory (AD) environment with three Windows clients that become infected.Each infection is based on an email, and the three emails that caused these infections are also provided.  Your task?  Match each email to its infected Windows client.#翻译本月的挑战基于 Active Directory (AD) 环境的数据包捕获 (pcap),其中三个 Windows 客户端被感染。每个感染都基于一封电子邮件并且还提供了导致这些感染的三封电子邮件你的任务是将每封电子邮件与其受感染的 Windows 客户端匹配。

根据附件信息下载查看,如下图所示

蓝军基础研判系列-实战流量分析(八)

接下来的任务就是寻找主机跟这三个恶意邮件的关系。


开始解题

首先过滤数据包中HTTP流量

http

蓝军基础研判系列-实战流量分析(八)

根据Wireshark的源IP字段定位到受害主机大致为

1、10.10.22.1562、10.10.22.1573、10.10.22.158

过滤地址为10.10.22.156的http流量

ip.addr==10.10.22.156 and http

蓝军基础研判系列-实战流量分析(八)

把该附件导出进行检测

蓝军基础研判系列-实战流量分析(八)

使用VT检测后发现

蓝军基础研判系列-实战流量分析(八)

发现为恶意文,查找该主机对应的hostanme以及用户名

ip.addr==10.10.22.156 and kerberos.CNameString

蓝军基础研判系列-实战流量分析(八)

ip.addr==10.10.22.156 and samr

蓝军基础研判系列-实战流量分析(八)

用户名为agnes.warren,对应邮件2021-10-21-malicious-email-1739-UTC

蓝军基础研判系列-实战流量分析(八)

接下来寻找第二封主机邮件对应关系,过滤10.10.22.157的http流量

ip.addr==10.10.22.157 and http

蓝军基础研判系列-实战流量分析(八)

看不出有用信息,查看10.10.22.157的dns流量

ip.addr==10.10.22.157 and dns

蓝军基础研判系列-实战流量分析(八)

有关于动态dns流量,还不少,估计是用于C2通信,查看该主机的hostname以及用户名

ip.addr==10.10.22.157 and kerberos.CNameString

蓝军基础研判系列-实战流量分析(八)

ip.addr==10.10.22.157 and samr

蓝军基础研判系列-实战流量分析(八)

用户名为marcus.cobb,对应邮件2021-10-21-malicious-email-1102-UTC

蓝军基础研判系列-实战流量分析(八)

接下来寻找第三封主机邮件对应关系,过滤10.10.22.158的http流量

ip.addr==10.10.22.158 and http

蓝军基础研判系列-实战流量分析(八)

跟踪该TCP数据流

蓝军基础研判系列-实战流量分析(八)

发现下载了DLL,导出该DLL并进行检测

蓝军基础研判系列-实战流量分析(八)

发现是恶意文件,查看该主机hostname以及用户名

ip.addr==10.10.22.158 and kerberos.CNameString

蓝军基础研判系列-实战流量分析(八)

ip.addr==10.10.22.158 and samr

蓝军基础研判系列-实战流量分析(八)

用户名为kevin.henderson,对应邮件为2021-10-21-malicious-email-2214-UTC

蓝军基础研判系列-实战流量分析(八)

综上所述

主机10.10.22.156用户名agnes.warren,对应邮件2021-10-21-malicious-email-1739-UTC

主机10.10.22.157用户名为marcus.cobb对应恶意邮件2021-10-21-malicious-email-1102-UTC

主机10.10.22.158用户名为kevin.henderson,对应邮件为2021-10-21-malicious-email-2214-UTC





原文始发于微信公众号(Kali渗透测试教程):蓝军基础研判系列-实战流量分析(八)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月12日20:24:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝军基础研判系列-实战流量分析(八)https://cn-sec.com/archives/1599929.html

发表评论

匿名网友 填写信息