通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。
本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等)
前面的分析经验告诉我们,首先看http,https的流量,基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件,然后在主机上打开其他端口通信或者伪装为正常浏览通信,或者通过dhcp,icmp等隧道通信。不论怎样,最开始的步骤 一定是和http,https有关的,所以先过滤出对应的流量。
第三条流量是使用myexternal.com网站查询出口ip
第二个就是在tcp 447 449端口上的加密通讯流量,我们可以尝试将其作为ssl解密,具体步骤如下:
选择analyze->decode as
点击左下角加号
每个列都可以双击后选择所需的配置
配置如下所示,然后点击ok
前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出
file->export->http
选中可以的后缀为bin的二进制程序
点击save即可保存
我们首先看看这个文件是什么类型的
然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件
从下面的comment可以看出这可能是trickbot恶意软件
接下来我们看看是什么时候从哪儿感染的trickbot
可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的
我们统计下流量,statistics->ipv4 statics->all address
如下图所示
接下来我们要找到账户名,这里注意,账户名是指user account name,有hostname没有任何关系,可能相同,可能不同。
既然前面我们知道了又nbns的流量,nbns全称是netbios name service,是netbios的流量,这是windows下特有的,所以我们可以知道现在分析的是windows的环境,既然是windows环境下,让我们找user account name,我们之前学过两种方法,一种是看http,一种是看kerberos,我们试试kerberos行不行
注意,我上图的语法只适用于2.x的版本,如果不是2.x的版本请使用这条命令。
ip.addr eq 10.10.10.209 and Kerberos.cname_element and kerberos.KernerosString and !(kerberos.KerberosString contains $)
要查看自己的wireshark的版本号可以help->wireshark
indicators(指标):
95.110.193.132-80端口- caveaudelteatro.ot -GET /ser0410.bin-获取Trickbot 二进制文件
78.47.139.132-80端口-myexternalip.com-GET /raw –受感染主机查找自身出口ip
82.214.141.134-449端口—TrickBot产生的SSL/TLS 流量
82.61.160.50-447端口-rickBot产生的SSL/TLS 流量
SHA256 Hash:
c2c1e2c22f67dda6553cbcc173694b68677b77319243684925e8dc3f78b3dbf8
文件大小:1.4M
文件描述:从caveaudelteatro.ot 下载的trickbot二进制文件
版权声明:本文为CSDN博主「Neil-Yale」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/yalecaltech/article/details/104178903
没有专业运营团队,纯个人凭着空闲时间的学习,通过网络搜集与学习整理的资料记录并分享。
如果觉得文章对你有帮助,请支持下点击右下角“在看”
本文始发于微信公众号(LemonSec):恶意流量分析训练五
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论