蓝军基础研判系列-实战流量分析（十）

2023年5月2日13:41:51评论69 views字数 1710阅读5分42秒阅读模式

题目地址：malware-traffic-analysis-ANGRYPOUTINE

https://malware-traffic-analysis.net/2021/09/10/index.html

数据包下载地址‍‍‍‍‍‍

https://malware-traffic-analysis.net/2021/09/10/index.html

数据包基础信息

LAN segment range:  10.9.10.0/24 (10.9.10.0 through 10.9.10.255)Domain:  angrypoutine.comDomain controller:  10.9.10.9 - ANGRYPOUTINE-DCLAN segment gateway:  10.9.10.1LAN segment broadcast address:  10.9.10.255

根据题目提示，数据包中内网网段为10.9.10.0/24，域控地址为10.9.10.9，网关为10.9.10.1

任务信息

Write an incident report based on the pcap and the alerts.
The incident report should contains 3 sections:Executive Summary: State in simple, direct terms what happened (when, who, what).Details: Details of the victim (hostname, IP address, MAC address, Windows user account name).Indicators of Compromise (IOCs): IP addresses, domains and URLs associated with the infection.  SHA256 hashes if any malware binaries can be extracted from the pcap.

需要根据数据包写一个事故调查报告，该报告包含三部分，第一部分介绍什么时间、什么主机、发生了什么时间；第二部分介绍详细的受害主机信息，包含主机名、IP地址、MAC地址、登录用户等；第三部分包含受害主机发起的IOC信息。

接下来开始解题

没有任何题目提示，根据经验先过滤http协议的流量看看

http

蓝军基础研判系列-实战流量分析（十）

主机10.9.10.102对194.62[.]42.206发起HTTP连接，下载了一个可执行文件，追踪该数据流

蓝军基础研判系列-实战流量分析（十）

通过导出HTTP文件并用VT检测

蓝军基础研判系列-实战流量分析（十）

检测后发现该文件为恶意文件，并且标签为trojan.kryplod/bazar

https://www.virustotal.com/gui/file/eed363fc4af7a9070d69340592dcab7c78db4f90710357de29e3b624aa957cf8

蓝军基础研判系列-实战流量分析（十）

发现了初始入侵痕迹之后主机信息提取如下，详细的过滤条件可以查看往期教程。

主机IP：10.9.10.102主机MAC地址：00:4f:49:b1:e8:c3主机感染时间为：Sep 11, 2021 07:17:27.500681000 中国标准时间主机登录用户名为：hobart.gunnarsson主机名为：DESKTOP-KKITB6Q

蓝军基础研判系列-实战流量分析（十）

接下来过滤相关IoCs：

tls.handshake.type eq 1 and !(tls.handshake.extension.type eq 0)

蓝军基础研判系列-实战流量分析（十）

可见IoCs为

167.172[.]37.994.158[.]245.52simpsonsavingss[.]com //下载恶意文件地址

总结一下

在Sep 11, 2021 07:17:27.500681000 中国标准时间，hobart.gunnarsson使用的电脑DESKTOP-KKITB6Q，IP地址为10.9.10.102，MAC地址为00:4f:49:b1:e8:c3感染病毒家族为bazar。

本文数据包以及官网解题报告地址：

https://malware-traffic-analysis.net/2021/09/10/page2.html

原文始发于微信公众号（Kali渗透测试教程）：蓝军基础研判系列-实战流量分析（十）

左青龙
微信扫一扫

右白虎
微信扫一扫

蓝军基础研判系列-实战流量分析（十）

ctf工控流量题

AVSS 2024 Writeup Polaris战队

2024警察大学第七届精武杯电子数据取证技能比武暨信息安全协会社团邀请赛参考wp

国科ctf python脚本 ctf常用python库

一文入门AndroidCTF：以攻防世界#基础Android为例

BUUCTF--rsa

Omron Fins

工控CTF之协议分析7——OMRON

入坑CTF的第一篇CRC32爆破【MISC】

AliyunCTF 2024 - BadApple

发表评论

在线咨询

微信