恶意流量分析训练六

1. 活动发送的时间，日期

2. 哪台主机发生了什么

3. indicatirs(指标)，包括（ip,域名等）

直接使用http.request过滤会发现还有大量的ssdp。

什么是ssdp？

简单服务发现协议（SSDP，Simple Service Discovery Protocol）是一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一。

简单服务发现协议提供了在局部网络里面发现设备的机制。控制点（也就是接受服务的客户端）可以通过使用简单服务发现协议，根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备（也就是提供服务的服务器端）也可以通过使用简单服务发现协议，向自己所在的局部网络里面的控制点宣告它的存在。从上面的描述中我们知道，ssdp对我们这次实验没什么作用，反而会干扰我们的分析，所以我们加上条件把ssdp过滤掉。

可以看到前面的流量都是指向www.stmrtbahrain.com的http get 请求，选中一条跟踪tcp流。

可以看到user agent，将其复制到这个专门根据user-agent指纹判断主机的网址（https://developers.whatismybrowser.com/useragents/explore/），点击analyse分析。

在结果中可以看到这是win7的chrome 67的指纹。

接下来我们要找到hostname和user account name。

我们知道hostname的方法有很多，dhcp,nbns等我们前面都有用过，不过这个数据包里面没有dhcp流量，而nbns的流量中没有可以涉及可以获取到hostname的类型。

所以我们尝试使用smb流量

可以看到，hostname,ip,mac地址全部都拿到了。

至于user account name还是使用kerberos。

有没有注意到不同的比方，有些末尾带有$，有些没有。

结合告警日志看看。

所以可以知道可疑的活动是从20：27开始的。

接下来我们着重关注报警日志中的CNC,CURRENTS_EVENTS,TROJAN。

CNC指的之CNC服务器，一般恶意软件都会与远程攻击者进行通信，包括命令和控制，即command and control；CURRENT_EVENTS指一些值得注意的正在发生的事情；TROJAN指木马病毒等。

先看TROJAN和current_events的

根据对应的端口特征使用wireshark将其流量过滤出来。

再看CNC的。

同样过滤出来。

点击第一条看看hybrid analysis（这个网站也是一个在线分析恶意软件的引擎）分析

我们选中第一条追踪http流。

选中后点击save，然后使用火狐打开。

所以过滤的命令如下所示。

注意到有facebook,google，这些都是正常的，不过随后我们发现了dropbox的。

在很多攻击行为中，攻击者会选择dropbox来分发恶意软件，而且在这个数据包里，访问lw2e.sineadholluwoodnutt.com之后马上就是访问dropbox，联想到钓鱼页面，这样我们不难推测出这个场景下dropbox就是用于分发恶意软件的。

但是如下所示，由于走的是https，所以我们无法确定究竟哪一条数据下载了恶意文件。

在告警日志中我们注意到，通过dropbox下载恶意文件后，很快就告警cnc了。

搜索关键字feodo tracer。

在wireshark中我们过滤出107.170.231.118。

其实在专门分析feodotracer的网址有已经记录下我们分析出的这个恶意目标ip了。

在流量中我们注意到有大量的顶级域为gtv1.com的流量。

whois查一下。

可以看到和google有关，结合之前钓鱼行为的推测，我们可以判断出这应该是chrome升级的链接，当受害者点击假的升级按钮后，钓鱼页面做了两件事—一件是下载恶意文件，一件是连接都真正的升级服务进行chrome升级，免得被受害者发现自己被钓鱼了。

分析至此，我们已经可以得出答案了：

ip:172.16.2.169

mac地址：00:13:92:06:5c:7b

host name:conservator-PC

user account name:Lloyd.maxwell

indicators:

93.95.100.178-80-lw2e.sineadhollywoodnutt.com-发往伪造的chrome更新页面的http请求

107.170.231.118-4143-Feodo产生的tcp流量-多次尝试tcp连接但是没有从服务端收到响应

版权声明：本文为CSDN博主「Neil-Yale」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。原文链接：https://blog.csdn.net/yalecaltech/article/details/104178924

没有专业运营团队，纯个人凭着空闲时间的学习，通过网络搜集与学习整理的资料记录并分享。

本文始发于微信公众号（LemonSec）：恶意流量分析训练六