Hvv钓鱼字节跳动-刘*龙.zip样本-分析练习

近期，红雨滴监测到一起HVV高风险的IP地址钓鱼活动。该钓鱼信号的IP地址为：36.99.188.109，归属地位于河南。红雨滴最后报告分析时间为2023-08-11 19:13:52

在静态分析过程中，发现了由字节跳动-刘*龙.zip文件释放出来的三个文件，如下所示：

以字节跳动-刘*龙.ZIP详情可直接以解析域名进行查询最近活动和样本，可惜的是我并不能下载样本。解析域名：events02.huawei.com IP/域名：36.99.188.109

根据MD5可查找到相关的PCAP，这边下载PCAP进行分析分析，通信全是基于加密的，随便看看。

01.Client Hello

在网络通信的起始阶段，Client Hello是一条重要的数据包。它向服务器发起连接请求，这个阶段的目标是建立一个安全的通信通道。Client Hello中包含了支持的协议版本、加密算法和随机数等信息。

后续补充在这部分是有发现JA3指纹，怎么说JAS是一种用于TLS客户端指纹识别的技术，可以识别不同TLS客户端的行为和参数，用于识别恶意或异常的网络通信。JA3指纹是根据TLS客户端在握手过程中选择的加密套件、加密算法、压缩方法、SSL版本等参数生成的哈希值。emm...可以移步看看这篇文章：http://www.taodudu.cc/news/show-3395360.html?action=onClick【利用JA3和JA3S识别加密数据流量】

02.Certificate和Server Key

在通信过程中，服务器会向客户端发送一个Certificate，其中包含了服务器的公钥和证书其他信息。此外，服务器还会发送一个Server Key，用于建立安全通道并进行加密通信。

03.Application Data

上面几个流量数据包走完，我发现Data这个数据包对TCP段的重新组装信息

这个日志中的信息表明已经成功地重新组装了三个TCP段，得到了一个完整的数据块，总共长度为4133字节。每个TCP段都被分配了一个帧号和相应的有效负载范围。以342、343组成的一个数据块。

在01和02之间我刚开始看的时候我记得有几个流量数据包是包含控制流量通信大小的，其目的可能因为是流量控制和拥塞控制，因为通信全程是加密的，没有思路继续弄下去也快到饭点了，内容就暂时这么多吧！

IOC

MD5：

f251ed6259557518dd18b3c28d686b25

2e11614ce5942cc389ae657cde963196

00ed693ee39421103ac4a3aabe39b92b

C2：

events02.huawei.com

cdn.bbq778.live

service-q07ntsqs-1301775575.gz.apigw.tencentcs.com

IP：

36.99.188.109

172.67.216.132

104.21.93.229

42.194.227.196

152.195.38.76

13.107.253.49

106.55.81.110

104.86.245.126