CTF 取证挑战赛 - 恶意流量分析

admin
admin
admin
138717
文章
114
评论
2022年4月22日21:20:42评论473 views字数 4389阅读14分37秒阅读模式

题目

  • 受感染的 Windows 计算机的 IP 地址是什么?

  • 受感染的 Windows 计算机的主机名是什么?

  • 受感染的 Windows 计算机的用户帐户是什么?

  • 感染活动开始的日期和时间是什么时候?

  • 导致这种感染的恶意软件是什么?


具体样本:

CTF 取证挑战赛 - 恶意流量分析


首先我们先将样本中IP收集一下方便后面分析,以下IP是在样本中取出的,那么在查看过程中已经发现了10.12.3.66IP的流量出现了异常,与其他地方不符的是协议。

10.12.3.25510.12.3.310.12.3.66101.99.69.120103.104.192.146103.138.88.100103.15.48.244103.20.190.24103.229.73.118103.253.125.172103.76.19.107104.168.169.134104.21.29.80104.21.4.181105.224.1.23106.187.245.203107.180.2.62108.167.153.167186.202.161.96119.79.63.117204.79.197.200208.84.244.140209.71.212.26209.99.40.22211.123.214.27211.13.204.5211.152.42.200212.107.52.21212.112.238.179

先了解一下这块工具的每个流量中传输层。

CTF 取证挑战赛 - 恶意流量分析


一、用户名和用户账户名称

在分析的时候有点太多的弯路了,首先我没有第一时间去关注一个NBNS的协议流量,那么何为NBNS协议?


NBNS协议:网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。


CTF 取证挑战赛 - 恶意流量分析

在通过NBNS流量包中,可以看到以下内容

Name: DESKTOP-LUOABV1<00> (Workstation/Redirector)#感染主机名

Addr: 10.12.3.66 #感染的ip

    Additional records        DESKTOP-LUOABV1<00>: type NB, class IN            Name: DESKTOP-LUOABV1<00> (Workstation/Redirector)#感染主机名            Type: NB (32)            Class: IN (1)            Time to live: 3 days, 11 hours, 20 minutes            Data length: 6            Name flags: 0x4000, ONT: Unknown (M-node, unique)            Addr: 10.12.3.66 #感染的ip

与此受感染的 Windows 主机关联的 Windows 用户账户名可以通过过滤 Kerberos 流量找到,然后我们在分析10.12.3.66的kerberos协议,目前我围绕10.12.3.66这IP的特殊协议进行分析,那么其他IP流量看起来比较正常一点。


什么是kerberos协议:Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。

CTF 取证挑战赛 - 恶意流量分析

在包中我们可以看到有关于一个用户账户名称

CTF 取证挑战赛 - 恶意流量分析

CNameString: darin.figueroa  #这个就是用户账户名称了

    Record Mark: 1813 bytestgs-reppvno: 5msg-type: krb-tgs-rep (13)crealm: FARGREENTECH.COMcnamename-type: kRB5-NT-PRINCIPAL (1)cname-string: 1 item                CNameString: darin.figueroa  #这个就是用户名了ticket        enc-part

因为轮到kerberos协议中我找到了关于KRB5协议,在4个当中都存在了,那么可以判断为感染的用户名,在分析过程中,花废的时间比较多

CNameString: darin.figueroa

CTF 取证挑战赛 - 恶意流量分析

如上所示:通过 Kerberos 流量查找 Windows 用户帐户名。


二、感染时间分析

一个基本的 Web 过滤器会显示两个不寻常的 HTTP GET 请求,然后是没有关联域的 HTTPS 流量。这两个 HTTP 请求是由 Microsoft Office 文档中的恶意宏引起的。其中一个请求返回了 Emotet 恶意软件的 DLL。


Emotet 使用没有任何关联域名的 HTTPS 导致 C2 流量。Emotet C2 流量以前使用 HTTP,但自 2021 年 11 月以来,其 C2 流量一直是 HTTPS。

CTF 取证挑战赛 - 恶意流量分析

我们可以通过http.request搜索相关的一些HTTP的流量,下方可看到我复制出来的文本摘要。

1743  57.382420  10.12.3.66  104.21.29.80  HTTP  245  GET /wp-content/plugins/sSTToaEwCG5VASw/ HTTP/1.11771  58.127936  10.12.3.66  139.59.6.175  HTTP  234  GET /wp-content/Sx9tvV5/ HTTP/1.1 

下方是104.21.29.80应用层流量

[Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]

Hypertext Transfer Protocol    GET /wp-content/plugins/sSTToaEwCG5VASw/ HTTP/1.1rn    User-Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.19041.1320rn    Host: gamaes.shoprn    Connection: Keep-Alivern    rn    [Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]    [HTTP request 1/1]    [Response in frame: 1752]

下方是104.21.29.80应用层流量

[Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]

Hypertext Transfer Protocol    GET /wp-content/Sx9tvV5/ HTTP/1.1rn    User-Agent: Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.19041.1320rn    Host: newsaarctech.comrn    Connection: Keep-Alivern    rn    [Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]    [HTTP request 1/1]

用于检索 Emotet DLL 的两个 HTTP URL 是:

[Full request URI: http://gamaes.shop/wp-content/plugins/sSTToaEwCG5VASw/]

[Full request URI: http://newsaarctech.com/wp-content/Sx9tvV5/]

通过上面的一个分析可以判断到感染时间

CTF 取证挑战赛 - 恶意流量分析

感染时间

1771  2021-12-03 19:42:48.410086  10.12.3.66  139.59.6.175  HTTP  234  GET /wp-content/Sx9tvV5/ HTTP/1.1   80

三、感染流量分析

有些版本是没显示端口了列表的,那么我们在Wireshark中,打开编辑->首选项设置->列->按“添加”按钮->在字段类型中选择“Dest port(unresolved)”即可。

CTF 取证挑战赛 - 恶意流量分析

在通过一下方式过滤掉其它流量

(http.request or tls.handshake.type eq 1)and !(ssdp)

CTF 取证挑战赛 - 恶意流量分析


以下 TCP 端口 443 上的 IP 地址已报告为 Emotet 的 C2 通道:

  • 172.104.227.98 端口 443   [链接到 Feodo Tracker 中的 IP 地址]

https://feodotracker.abuse.ch/browse.php?search=172.104.227.98

  • 163.172.50.82 端口 443   [链接到 Feodo Tracker 中的 IP 地址]

https://feodotracker.abuse.ch/browse.php?search=163.172.50.82


使用基本的 Web 过滤器,向下滚动一点以查找使用 TCP 端口 465 和 587 的 SSL/TLS 流量,从 UTC 世界统一时间 20:09 开始。这代表加密的 SMTP 流量,它揭示了我们的 Emotet 感染主机也充当了垃圾邮件机器人。Emotet 使用受 Emotet 感染的 Windows 主机来帮助分发新的 Emotet 恶意垃圾邮件,将端口进行升降序来判断感染时间,不清楚可以去翻上面给出的C2通道。

CTF 取证挑战赛 - 恶意流量分析

如上所示:显示 pcap 中 spambot 流量的开始位置,我们可以看到在2021-12-03 20:09:52.312990时间开始利用到465、587端口,那么开始利用的就是


SMTP是一个邮件服务,使用SMTP来搜索,其中包含未加密的 SMTP 命令和数据。

CTF 取证挑战赛 - 恶意流量分析

在使用smtp.data.fragment来搜索有关于smtp更详细的邮件内容流量。

CTF 取证挑战赛 - 恶意流量分析

如上所示:过滤以查找通过未加密的 SMTP 发送的垃圾邮件。


点击-文件-导出对象-IMF 导出未加密邮件

CTF 取证挑战赛 - 恶意流量分析


这鸟玩意被导出来了

CTF 取证挑战赛 - 恶意流量分析

邮件内容

CTF 取证挑战赛 - 恶意流量分析


最终答案:

受感染Windows电脑IP地址:  10.12.3.66

受感染的 Windows 计算机的主机名:  DESKTOP-LUOABV1

受感染的 Windows 计算机的用户帐户名称:  darin.figueroa

感染活动开始的日期/时间:  2021 年 12 月 3 日 19:42:47 UTC

导致这种感染的恶意软件家族:  Emotet


参考:

https://urlhaus.abuse.ch/url/1844646/

https://cyberint.com/blog/research/emotet-returns/

https://urlhaus.abuse.ch/url/1844645/

https://twitter.com/BanhammersWrath/status/1466452655757312010

原文始发于微信公众号(Ots安全):CTF 取证挑战赛 - 恶意流量分析

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日21:20:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CTF 取证挑战赛 - 恶意流量分析https://cn-sec.com/archives/935915.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息