CTF 取证挑战赛 - 恶意流量分析

题目

• 受感染的 Windows 计算机的 IP 地址是什么？

• 受感染的 Windows 计算机的主机名是什么？

• 受感染的 Windows 计算机的用户帐户是什么？

• 感染活动开始的日期和时间是什么时候？

• 导致这种感染的恶意软件是什么？

具体样本：

首先我们先将样本中IP收集一下方便后面分析，以下IP是在样本中取出的，那么在查看过程中已经发现了10.12.3.66IP的流量出现了异常，与其他地方不符的是协议。

10.12.3.25510.12.3.310.12.3.66101.99.69.120103.104.192.146103.138.88.100103.15.48.244103.20.190.24103.229.73.118103.253.125.172103.76.19.107104.168.169.134104.21.29.80104.21.4.181105.224.1.23106.187.245.203107.180.2.62108.167.153.167186.202.161.96119.79.63.117204.79.197.200208.84.244.140209.71.212.26209.99.40.22211.123.214.27211.13.204.5211.152.42.200212.107.52.21212.112.238.179

先了解一下这块工具的每个流量中传输层。

一、用户名和用户账户名称

在分析的时候有点太多的弯路了，首先我没有第一时间去关注一个NBNS的协议流量，那么何为NBNS协议？

NBNS协议：网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。

在通过NBNS流量包中，可以看到以下内容

Name: DESKTOP-LUOABV1<00> (Workstation/Redirector)#感染主机名

Addr: 10.12.3.66 #感染的ip

    Additional records        DESKTOP-LUOABV1<00>: type NB, class IN            Name: DESKTOP-LUOABV1<00> (Workstation/Redirector)#感染主机名            Type: NB (32)            Class: IN (1)            Time to live: 3 days, 11 hours, 20 minutes            Data length: 6            Name flags: 0x4000, ONT: Unknown (M-node, unique)            Addr: 10.12.3.66 #感染的ip

与此受感染的 Windows 主机关联的 Windows 用户账户名可以通过过滤 Kerberos 流量找到，然后我们在分析10.12.3.66的kerberos协议，目前我围绕10.12.3.66这IP的特殊协议进行分析，那么其他IP流量看起来比较正常一点。

什么是kerberos协议：Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。

在包中我们可以看到有关于一个用户账户名称

CNameString: darin.figueroa  #这个就是用户账户名称了

    Record Mark: 1813 bytestgs-reppvno: 5msg-type: krb-tgs-rep (13)crealm: FARGREENTECH.COMcnamename-type: kRB5-NT-PRINCIPAL (1)cname-string: 1 item                CNameString: darin.figueroa  #这个就是用户名了ticket        enc-part

因为轮到kerberos协议中我找到了关于KRB5协议，在4个当中都存在了，那么可以判断为感染的用户名，在分析过程中，花废的时间比较多

CNameString: darin.figueroa

如上所示：通过 Kerberos 流量查找 Windows 用户帐户名。

二、感染时间分析

一个基本的 Web 过滤器会显示两个不寻常的 HTTP GET 请求，然后是没有关联域的 HTTPS 流量。这两个 HTTP 请求是由 Microsoft Office 文档中的恶意宏引起的。其中一个请求返回了 Emotet 恶意软件的 DLL。

Emotet 使用没有任何关联域名的 HTTPS 导致 C2 流量。Emotet C2 流量以前使用 HTTP，但自 2021 年 11 月以来，其 C2 流量一直是 HTTPS。

我们可以通过http.request搜索相关的一些HTTP的流量，下方可看到我复制出来的文本摘要。

1743  57.382420  10.12.3.66  104.21.29.80  HTTP  245  GET /wp-content/plugins/sSTToaEwCG5VASw/ HTTP/1.11771  58.127936  10.12.3.66  139.59.6.175  HTTP  234  GET /wp-content/Sx9tvV5/ HTTP/1.1 

‍下方是104.21.29.80应用层流量

[Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]

Hypertext Transfer Protocol    GET /wp-content/plugins/sSTToaEwCG5VASw/ HTTP/1.1rn    User-Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.19041.1320rn    Host: gamaes.shoprn    Connection: Keep-Alivern    rn    [Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]    [HTTP request 1/1]    [Response in frame: 1752]

下方是104.21.29.80应用层流量

[Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]

Hypertext Transfer Protocol    GET /wp-content/Sx9tvV5/ HTTP/1.1rn    User-Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.19041.1320rn    Host: newsaarctech.comrn    Connection: Keep-Alivern    rn    [Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]    [HTTP request 1/1]

用于检索 Emotet DLL 的两个 HTTP URL 是：

[Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]

[Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]

通过上面的一个分析可以判断到感染时间

感染时间

1771  2021-12-03 19:42:48.410086  10.12.3.66  139.59.6.175  HTTP  234  GET /wp-content/Sx9tvV5/ HTTP/1.1   80

三、感染流量分析

有些版本是没显示端口了列表的，那么我们在Wireshark中，打开编辑->首选项设置->列->按“添加”按钮->在字段类型中选择“Dest port(unresolved)”即可。

在通过一下方式过滤掉其它流量

(http.request or tls.handshake.type eq 1)and !(ssdp)

以下 TCP 端口 443 上的 IP 地址已报告为 Emotet 的 C2 通道：

• 172.104.227.98 端口 443   [链接到 Feodo Tracker 中的 IP 地址]

https://feodotracker.abuse.ch/browse.php?search=172.104.227.98

• 163.172.50.82 端口 443   [链接到 Feodo Tracker 中的 IP 地址]

https://feodotracker.abuse.ch/browse.php?search=163.172.50.82

使用基本的 Web 过滤器，向下滚动一点以查找使用 TCP 端口 465 和 587 的 SSL/TLS 流量，从 UTC 世界统一时间 20:09 开始。这代表加密的 SMTP 流量，它揭示了我们的 Emotet 感染主机也充当了垃圾邮件机器人。Emotet 使用受 Emotet 感染的 Windows 主机来帮助分发新的 Emotet 恶意垃圾邮件，将端口进行升降序来判断感染时间，不清楚可以去翻上面给出的C2通道。

如上所示：显示 pcap 中 spambot 流量的开始位置，我们可以看到在2021-12-03 20:09:52.312990时间开始利用到465、587端口，那么开始利用的就是

SMTP是一个邮件服务，使用SMTP来搜索，其中包含未加密的 SMTP 命令和数据。

在使用smtp.data.fragment来搜索有关于smtp更详细的邮件内容流量。

如上所示：过滤以查找通过未加密的 SMTP 发送的垃圾邮件。

点击-文件-导出对象-IMF 导出未加密邮件

这鸟玩意被导出来了

邮件内容

最终答案：

受感染Windows电脑IP地址：  10.12.3.66

受感染的 Windows 计算机的主机名：  DESKTOP-LUOABV1

受感染的 Windows 计算机的用户帐户名称：  darin.figueroa

感染活动开始的日期/时间：  2021 年 12 月 3 日 19:42:47 UTC

导致这种感染的恶意软件家族：  Emotet

参考:

https://urlhaus.abuse.ch/url/1844646/

https://cyberint.com/blog/research/emotet-returns/

https://urlhaus.abuse.ch/url/1844645/

https://twitter.com/BanhammersWrath/status/1466452655757312010

原文始发于微信公众号（Ots安全）：CTF 取证挑战赛 - 恶意流量分析