恶意流量分析训练五

  • A+
所属分类:安全文章

通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。


本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等)


前面的分析经验告诉我们,首先看http,https的流量,基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件,然后在主机上打开其他端口通信或者伪装为正常浏览通信,或者通过dhcp,icmp等隧道通信。不论怎样,最开始的步骤 一定是和http,https有关的,所以先过滤出对应的流量。


第二条通过http get方式获取到恶意二进制程序

第三条流量是使用myexternal.com网站查询出口ip

第二个就是在tcp 447 449端口上的加密通讯流量,我们可以尝试将其作为ssl解密,具体步骤如下:

选择analyze->decode as

恶意流量分析训练五

点击左下角加号

恶意流量分析训练五

每个列都可以双击后选择所需的配置

恶意流量分析训练五

配置如下所示,然后点击ok

恶意流量分析训练五

前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出

file->export->http

恶意流量分析训练五

选中可以的后缀为bin的二进制程序

点击save即可保存

恶意流量分析训练五

我们首先看看这个文件是什么类型的

恶意流量分析训练五

然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件

恶意流量分析训练五
打开virustotal
search然后在输入框中输入hash值

恶意流量分析训练五

点击右边的放大镜搜索
搜索结果如下

恶意流量分析训练五

恶意流量分析训练五

从下面的comment可以看出这可能是trickbot恶意软件

恶意流量分析训练五

接下来我们看看是什么时候从哪儿感染的trickbot

恶意流量分析训练五

可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的



我们统计下流量,statistics->ipv4 statics->all address

恶意流量分析训练五

如下图所示

恶意流量分析训练五

可以看到流量基本都是与10.10.10.209有关
接下来我们需要得到的是其mac和hostname
mac很容易拿到,随便选中一条10.10.10.209的流量就能看到

恶意流量分析训练五

接下来要找hostname,经过前面几次流量分析训练,找hostname应该也不难了,可以使用dhcp看看
这里注意,dhcp前身是bootp,直接在wireshark中使用dhcp过滤可能无效,我们使用bootp就行了

恶意流量分析训练五

这样就能找到hostname了
过滤出dhcp还有一种方法,就是通过端口过滤
dhcp的端口是udp 67和udp 68

恶意流量分析训练五

同样拿到了hostname
其实我们注意到数据包中还有nbns流量,所以可以尝试使用nbns来获取hostname,直接使用nbns过滤即可

恶意流量分析训练五

接下来我们要找到账户名,这里注意,账户名是指user account name,有hostname没有任何关系,可能相同,可能不同。

既然前面我们知道了又nbns的流量,nbns全称是netbios name service,是netbios的流量,这是windows下特有的,所以我们可以知道现在分析的是windows的环境,既然是windows环境下,让我们找user account name,我们之前学过两种方法,一种是看http,一种是看kerberos,我们试试kerberos行不行

恶意流量分析训练五

注意,我上图的语法只适用于2.x的版本,如果不是2.x的版本请使用这条命令。

ip.addr eq 10.10.10.209 and Kerberos.cname_element and kerberos.KernerosString and !(kerberos.KerberosString contains $)

要查看自己的wireshark的版本号可以help->wireshark

恶意流量分析训练五

可以看到我的版本是2.x的
所以现在总结下我们的回答:
ip:10.10.10.209
mac地址:00:30:67:fa:2d:63
hostname:batiste-pc
user account name:winford.batiste


indicators(指标):

95.110.193.132-80端口- caveaudelteatro.ot -GET /ser0410.bin-获取Trickbot 二进制文件

78.47.139.132-80端口-myexternalip.com-GET /raw –受感染主机查找自身出口ip

82.214.141.134-449端口—TrickBot产生的SSL/TLS 流量

82.61.160.50-447端口-rickBot产生的SSL/TLS 流量


SHA256 Hash: 

c2c1e2c22f67dda6553cbcc173694b68677b77319243684925e8dc3f78b3dbf8

文件大小:1.4M

文件描述:从caveaudelteatro.ot 下载的trickbot二进制文件

恶意流量分析训练五


版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104178903



   没有专业运营团队,纯个人凭着空闲时间的学习,通过网络搜集与学习整理的资料记录并分享。

     如果觉得文章对你有帮助,请支持下点击右下角“在看”

恶意流量分析训练五

本文始发于微信公众号(LemonSec):恶意流量分析训练五

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: