恶意流量分析训练二

admin 2021年6月19日12:31:03评论135 views字数 3160阅读10分32秒阅读模式
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。


环境:

局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255)

域:eggnogsoup.com

域控:172.16.3.2-EggNogSoup-DC

网关:172.16.3.1

广播地址:172.16.3.255


使用wireshark打开数据包如图所示

恶意流量分析训练二


Q1:域里有多少台存活的主机,分别给出他们的地址
点击上方的菜单->统计->conversations

恶意流量分析训练二

选中ipv4选项卡,点击address A,就会按照address A排序了

恶意流量分析训练二

然后就按照address A这一列来写出属于172.16.3.0/24的各个主机的ip

172.16.3.189

172.16.3.188

172.16.3.133

172.16.3.122

172.16.3.114

172.16.3.112

172.16.3.111

172.16.3.110

172.16.3.109

172.16.3.2


Q2.哪个主机的操作系统是ubuntu?

这个问题考到一个知识点,就是访问网页时,用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。
部分user agent如下所示:
FirefoxMozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10
SafariMozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
chromeMozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.133 Safari/534.16

那么回到题目,我们使用wireshark的过滤命令来过滤出有ubuntu关键字不就好了吗。

恶意流量分析训练二

随便打开一条,右键追踪tcp流

恶意流量分析训练二

可以从user agent看到确实是ubuntu的关键字。



Q3:ip地址为172.16.3.188的是什么类型的主机?

根据题目对应的过滤为
ip.addr eq 172.16.3.188

恶意流量分析训练二

可以看到发起的dns请求是查询icloud的。

恶意流量分析训练二

我们知道icloud是苹果的域名;或者从其mac地址也可以看出是苹果设备。
那么是iphone,ipad还是mac呢?。


还是用上一步的做法,看user agent
User agent是在http请求头部中带的,所以过滤命令加上http.request

恶意流量分析训练二

右键跟踪tcp流

恶意流量分析训练二

可以看到是iphone8




Q4:哪个ip地址最有可能是Amazon Fire tablet

这是亚马逊的一款平板电脑。这时候还是用找ubuntu的方法能行吗?

恶意流量分析训练二

可以看到只有一条数据,追踪tcp流看到的user agent和Amazon Fire tablet关系并不大。

恶意流量分析训练二

那么也就是说这种方法失效了。还有别的方法吗?记得在上一题的时候我们发现dns协议的回去查询苹果的域名,那么亚马逊平板的流量是不是也会去查询Amazon的域名呢?
我们试试过滤看。
dns.qry.name contains amazon

恶意流量分析训练二

可以看到对应的ip有三个:172.16.3.122,172.16.3.111,172.16.3.109

还有其他方法进一步判断吗?

我们知道亚马逊的网上采用了https,我们可以尝试过滤出https域名中有amazon的

ssl.handshake.type == 1 and ip contains amazon

恶意流量分析训练二

可以看到这时候只剩两个ip了:172.16.3.122,172.16.3.109
那进一步怎么缩小范围呢?
看MAC
看172.16.3.122的,可以看到这是苹果的设备

恶意流量分析训练二

再看172.16.3.109的。

恶意流量分析训练二

可以看到这是亚马逊的设备
所以答案就是172.16.3.109


其实还有一个思路,也是看ua,不过用的关键字不是amazon,那么时候什么呢?
我们知道user agent也会有浏览器的特征,比如firefox,chrome等,那么这个平板上的浏览器是什么呢?

恶意流量分析训练二

通过关键字可以看到其特有的浏览器是Silk,那么我们试试使用silk关键字来过滤。

恶意流量分析训练二

这次看到只有一个ip符合,就是172.16.3.109。



Q5:哪些windows主机曾经连接到域控上?
先来理清楚概念:域建立后会有一个管理域成员的目录列表,称之为活动目录Active Directory(AD),而AD默认使用Kerberos处理认证请求。所以我们考虑使用kerberos关键字进行过滤

恶意流量分析训练二

将第一条展开如图。

恶意流量分析训练二

从CNameString就可以看出是哪台windows连入了。
为了方便查看所有连入的windows的信息,我们选中这一行,右键-》应用为列。

恶意流量分析训练二

然后就可以看到多了一列CNameString
所以连接到windows上的域控主机有:
172.16.3.144,172.16.3.133,172.16.3.189


Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?(172.16.3.114,172.16.3.133,172.16.3.189)
我们看一下给出的流量图

恶意流量分析训练二

注意到这里的栏目与wireshark默认的不同,所以先调整为同样的栏,方便后续比对分析(调整过程请参考https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/),调整完毕后使用下列命令过滤。

(http.request or ssl.handshake.type == 1) and  !(udp.port eq 1900) and ip.addr eq ip

172.16.3.114如下

恶意流量分析训练二

172.16.3.133如下

恶意流量分析训练二

172.16.3.189如下

恶意流量分析训练二

结合多种特征(比如info栏中get,client hello的顺序、频率等)比对后可以发现133机器最符合感染后的通信特征。


Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?

同样使用user agent的方法

http.request and ip contains "8.0.0"

恶意流量分析训练二

跟踪tcp流

恶意流量分析训练二

确实是安卓8.0.0,型号为moto e5 play
地址是172.16.3.111

恶意流量分析训练二


版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104176548


如果觉得文章对你有帮助,请点击右下角“在看”

恶意流量分析训练二

本文始发于微信公众号(LemonSec):恶意流量分析训练二

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年6月19日12:31:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意流量分析训练二https://cn-sec.com/archives/304894.html

发表评论

匿名网友 填写信息