恶意流量分析

admin 2024年11月22日17:39:59评论16 views字数 1707阅读5分41秒阅读模式

GRADUATION

点击蓝字 关注我们

恶意流量分析

免责申明:

      本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。

基础环境:

LAN段范围:10.8.21.0/2410.8.21.010.8.21.255域:tecsolutions.info域控制器:10.8.21.8-Pizza Bender DCLAN段网关:10.8.21.1LAN段广播地址:10.8.21.255

任务:

根据pcap和警报编写事件报告事件报告应包含三个部分:执行摘要:简单、直接地陈述发生了什么(何时、何人、何事)。细节:受害者的详细信息(主机名、IP地址、MAC地址、Windows用户帐户名)。妥协指标:与感染相关的IP地址、域和URL。如果可以从pcap中提取任何恶意软件二进制文件,SHA256将进行散列

排查:

A、先看一下HTTP,有一条数据量比较大,且发送我方资产的记录

恶意流量分析

B、follow一下,根据This program cannot be run in DOS mode.,推断该IP45.12.4.190在往资产10.8.21.163上发送一个文件,并且在通过DOS运行程序,且10.8.21.163为Windows系统

恶意流量分析

C、可以看到该IP45.12.4.190发送了一个ranec11.cab附件,并且执行了它,通过资产上的PHP程序

GET /dujok/kevyl.php?l=ranec11.cab HTTP/1.1Accept: */*Accept-Language: en-USAccept-Encoding: gzip, deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)Host: ncznw6a.comConnection: Keep-AliveHTTP/1.1 200 OKDate: Fri, 21 Aug 2020 15:04:24 GMTServer: Apache/2.2.15 (CentOS)X-Powered-By: PHP/7.2.33Content-Description: File TransferContent-Disposition: attachment; filename="ranec11.cab"Expires: 0Cache-Control: must-revalidatePragma: publicContent-Length: 304640Connection: closeContent-Type: application/octet-stream

这个文件格式比较陌生,查询一下:

D、.cab Microsoft制订的压缩包格式,常用于软件的安装程序

E、可以看到,这个发送者的HOST为:ncznw6a.com,查询一下TI,发现其有恶意软件利用的行为,很可疑:

推荐使用:奇安信威胁情报中心

恶意流量分析

E、再回去看HTTP包,ctldl.windowsudate.com通过TI查询,是一个可信域名,排除域名205.185216.10和8.252.146.254。

恶意流量分析

F、接下来,检索一下45.12.4.190这个IP的活动情况,可以发现资产的61208端口接受较多信息

恶意流量分析

G、搜索61208端口,发现一个相关的监控软件Glances

恶意流量分析

H、猜测:10.8.21.163先访问了45.12.4.190,然后从后者下载了远控恶意文件。

答案:

恶意HTTP流量:45.12.4.190 port 80 - ncznw6a.com - GET /dujok/kevyl.php?l=ranec11.cab使用HTTPS流量的可疑域:5.147.231.132端口443-ldrbravo.casa89.44.9.186端口443-siesetera.club89.44.9.186端口443-ciliabba.cyou89.44.9.186端口443-ubbifeder.cyou
恶意流量分析
恶意流量分析

编辑|青春计协

审核|青春计协

原文始发于微信公众号(青春计协):恶意流量分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月22日17:39:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意流量分析https://cn-sec.com/archives/3425542.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息