GRADUATION
点击蓝字 关注我们
免责申明:
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
基础环境:
LAN段范围:10.8.21.0/24(10.8.21.0到10.8.21.255)
域:tecsolutions.info
域控制器:10.8.21.8-Pizza Bender DC
LAN段网关:10.8.21.1
LAN段广播地址:10.8.21.255
任务:
根据pcap和警报编写事件报告。
事件报告应包含三个部分:
执行摘要:简单、直接地陈述发生了什么(何时、何人、何事)。
细节:受害者的详细信息(主机名、IP地址、MAC地址、Windows用户帐户名)。
妥协指标:与感染相关的IP地址、域和URL。
如果可以从pcap中提取任何恶意软件二进制文件,SHA256将进行散列
排查:
A、先看一下HTTP,有一条数据量比较大,且发送我方资产的记录
B、follow一下,根据This program cannot be run in DOS mode.,推断该IP45.12.4.190在往资产10.8.21.163上发送一个文件,并且在通过DOS运行程序,且10.8.21.163为Windows系统
C、可以看到该IP45.12.4.190发送了一个ranec11.cab附件,并且执行了它,通过资产上的PHP程序
GET /dujok/kevyl.php?l=ranec11.cab HTTP/1.1
Accept: */*
Accept-Language: en-US
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E)
Host: ncznw6a.com
Connection: Keep-Alive
HTTP/1.1 200 OK
Date: Fri, 21 Aug 2020 15:04:24 GMT
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/7.2.33
Content-Description: File Transfer
Content-Disposition: attachment; filename="ranec11.cab"
Expires: 0
Cache-Control: must-revalidate
Pragma: public
Content-Length: 304640
Connection: close
Content-Type: application/octet-stream
这个文件格式比较陌生,查询一下:
D、.cab Microsoft制订的压缩包格式,常用于软件的安装程序
E、可以看到,这个发送者的HOST为:ncznw6a.com,查询一下TI,发现其有恶意软件利用的行为,很可疑:
推荐使用:奇安信威胁情报中心
E、再回去看HTTP包,ctldl.windowsudate.com通过TI查询,是一个可信域名,排除域名205.185216.10和8.252.146.254。
F、接下来,检索一下45.12.4.190这个IP的活动情况,可以发现资产的61208端口接受较多信息
G、搜索61208端口,发现一个相关的监控软件Glances
H、猜测:10.8.21.163先访问了45.12.4.190,然后从后者下载了远控恶意文件。
答案:
恶意HTTP流量:
45.12.4.190 port 80 - ncznw6a.com - GET /dujok/kevyl.php?l=ranec11.cab
使用HTTPS流量的可疑域:
5.147.231.132端口443-ldrbravo.casa
89.44.9.186端口443-siesetera.club
89.44.9.186端口443-ciliabba.cyou
89.44.9.186端口443-ubbifeder.cyou
编辑|青春计协
审核|青春计协
原文始发于微信公众号(青春计协):恶意流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论