摘要:本报告基于对pcap包捕获文件的详细分析。分析显示网络中存在一台受感染的Windows客户端,该客户端与至少两个可疑的命令与控制(C2)服务器保持着通信。通过流量分析,我们能够确定受感染主机的关键信息以及所使用的攻击基础设施。
被感染设备详情
恶意活动分析
可疑DNS查询和网络连接
分析期间观察到以下可疑DNS查询和网络连接:
-
客户端对 login.microsoftonline.com进行DNS查询,这可能是正常的Microsoft服务,但在本上下文中可能是攻击者为了网络钓鱼尝试而操纵的域名 -
客户端多次尝试解析 ping3.dyngate.com,这些尝试均失败并接收到"No such name"(不存在此名称)的响应 -
与可疑IP地址45.125.66.252建立并维持加密的TLS连接(端口443) -
向IP地址5.252.153.241(端口80)发送定期重复的HTTP GET请求,路径固定为"/1517096937",尽管始终收到404错误响应
C2通信模式
分析显示两种不同的C2通信模式:
- 加密的持续连接:
-
目标IP:45.125.66.252 -
端口:443 (HTTPS) -
特征:长时间保持TLS加密会话,定期小数据包交换 - HTTP信标通信:
-
目标IP:5.252.153.241 -
端口:80 (HTTP) -
特征:周期性HTTP GET请求到固定URI路径"/1517096937",即使持续收到404响应仍继续尝试 -
这种模式典型地代表恶意软件的"信标"行为,即定期向C2服务器报告存在
可能的攻击链
根据流量分析,可以推断以下可能的攻击链:
-
初始感染 - 很可能是通过伪装成Microsoft认证页面的网络钓鱼攻击 -
恶意软件建立 - 成功感染后,恶意软件在目标系统上安装 -
C2通信建立 - 恶意软件与多个C2服务器建立通信信道 -
持久性通信 - 恶意软件维持与C2服务器的周期性通信,等待进一步指令
潜在威胁和影响
- 数据泄露风险:C2服务器可能指示恶意软件窃取敏感数据
- 横向移动:受感染系统可能成为攻击者在网络中横向移动的跳板
- 网络持久性:建立的C2通道允许攻击者长期潜伏在网络中
- 额外有效载荷:C2服务器可能随时下发额外的恶意软件
建议的缓解措施
-
隔离IP地址为10.1.17.215的受感染设备 -
在防火墙上阻止与以下IP地址的所有通信: -
45.125.66.252 -
5.252.153.241 -
对受感染系统进行完整的恶意软件清除和重置 -
检查其他设备是否有相似的C2通信模式 -
更新所有系统用户的凭据,特别是与受感染系统相关的账户 -
审查组织的网络钓鱼防御机制并加强员工的安全意识培训
结论
流量分析揭示了一个活跃的恶意软件感染,该感染维持着与至少两个C2服务器的通信。这种活动模式表明可能存在持续性威胁,应立即采取缓解措施以防止进一步的网络入侵和数据泄露。
原文始发于微信公众号(MicroPest):利用Claude3.7分析wireshark流量包
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论