GRADUATION
点击蓝字 关注我们
免责申明:
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
基础环境:
LAN段范围:10.8.21.0/24(10.8.21.0到10.8.21.255)域:tecsolutions.info域控制器:10.8.21.8-Pizza Bender DCLAN段网关:10.8.21.1LAN段广播地址:10.8.21.255
任务:
根据pcap和警报编写事件报告。事件报告应包含三个部分:执行摘要:简单、直接地陈述发生了什么(何时、何人、何事)。细节:受害者的详细信息(主机名、IP地址、MAC地址、Windows用户帐户名)。妥协指标:与感染相关的IP地址、域和URL。如果可以从pcap中提取任何恶意软件二进制文件,SHA256将进行散列
排查:
A、先看一下HTTP,有一条数据量比较大,且发送我方资产的记录
B、follow一下,根据This program cannot be run in DOS mode.,推断该IP45.12.4.190在往资产10.8.21.163上发送一个文件,并且在通过DOS运行程序,且10.8.21.163为Windows系统
C、可以看到该IP45.12.4.190发送了一个ranec11.cab附件,并且执行了它,通过资产上的PHP程序
GET /dujok/kevyl.php?l=ranec11.cab HTTP/1.1Accept: */*Accept-Language: en-USAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)Host: ncznw6a.comConnection: Keep-AliveHTTP/1.1 200 OKDate: Fri, 21 Aug 2020 15:04:24 GMTServer: Apache/2.2.15 (CentOS)X-Powered-By: PHP/7.2.33Content-Description: File TransferContent-Disposition: attachment; filename="ranec11.cab"Expires: 0Cache-Control: must-revalidatePragma: publicContent-Length: 304640Connection: closeContent-Type: application/octet-stream
这个文件格式比较陌生,查询一下:
D、.cab Microsoft制订的压缩包格式,常用于软件的安装程序
E、可以看到,这个发送者的HOST为:ncznw6a.com,查询一下TI,发现其有恶意软件利用的行为,很可疑:
推荐使用:奇安信威胁情报中心
E、再回去看HTTP包,ctldl.windowsudate.com通过TI查询,是一个可信域名,排除域名205.185216.10和8.252.146.254。
F、接下来,检索一下45.12.4.190这个IP的活动情况,可以发现资产的61208端口接受较多信息
G、搜索61208端口,发现一个相关的监控软件Glances
H、猜测:10.8.21.163先访问了45.12.4.190,然后从后者下载了远控恶意文件。
答案:
恶意HTTP流量:45.12.4.190 port 80 - ncznw6a.com - GET /dujok/kevyl.php?l=ranec11.cab使用HTTPS流量的可疑域:5.147.231.132端口443-ldrbravo.casa89.44.9.186端口443-siesetera.club89.44.9.186端口443-ciliabba.cyou89.44.9.186端口443-ubbifeder.cyou
编辑|青春计协
审核|青春计协
原文始发于微信公众号(青春计协):恶意流量分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论