合天恶意流量分析一

最新推荐文章于 2024-04-29 05:05:39 发布
最新推荐文章于 2024-04-29 05:05:39 发布
阅读量290 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrapeSour/article/details/118558633
版权

合天恶意流量分析一

在这里插入图片描述
首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志
在这里插入图片描述

第一条

收到whatismyaddress.com的请求

这是一个正常流量,是查看我们的出网端口的ip地址

第三条

是一个FTP stor的命令

这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上

第四条

是一个Hawkeye Keylogger的一个木马

用键盘记录器发送数据

所以通过以上分析,可以使用ftp过滤协议,查看,如图
在这里插入图片描述
第一条显示的是proftpd,这是一个ftp服务的后端软件,其后面跟随着一个域名,是000webhost.com,但是没有什么有用的信息
根据之前的分析,恶意软件使用的是ftp stor命令,所以可以根据常用的几个进行过滤,如:USER,PASS,STOR,过滤命令如下

ftp.request.command eq USER or ftp.request.command eq PASS or ftp.request.command eq STOR

在这里插入图片描述

其中source是我们的内网地址,destination是外网地址,发现外网地址一直在变化
在这里插入图片描述
这里变动的原因
是攻击者使用的是免费的虚拟主机,所以,当他更新页面或者传送数据的时候会导致自动更换ip

因为数据是有cookie,所以会涉及到他ftp的一个数据信道,所以使用ftp-data进行过滤
在这里插入图片描述
然后选中第一条,跟踪他的tcp流
在这里插入图片描述
发现这是一个图像格式的文件

再看看其他的tcp流,发现有一个txt文件

在这里插入图片描述
上面有操作系统的平台,版本,系统信息,ip地址等等,是一个密码窃取的功能,窃取了谷歌邮箱的地址和密码
主机名:BREAUX-WIN7-PC

用户名:Adriana.breaux

MAC地址:84:8f:69:09:86:c0

Ip地址:10.0.0.227

还有一个jpeg格式的文件,然后将它保存为原始数据
在这里插入图片描述
是一个桌面截屏

下面就是IOC
先用ftp or ftp-data过滤完整的ftp协议

命令端口一般都是21

首先看第一个外网ip:145.14.145.4
在这里插入图片描述

受害者机器向145.14.145.4发出PASV
在715到744之间都是命令端口通信的流量。

所以此时的IOC是

Ip:145.14.145.4 port:21 url:000.webhost.com

745开始是通过被动模式连接后进行数据传输了
随便找一条查看dst port为37280,即此时145.14.145.4使用的数据端口是37280
所以第二条IOC为

Ip:145.14.145.4 port:37280 url:000webhost.com

同理,第二个ip:145.14.144.10
从839到858,都是PASV
命令端口的通信流量 IOC为

Ip:145.14.144.10 port:21 000webhost.com

数据端口通信流量 IOC为

Ip:145.14.144.10 port:40651 url:000webhost.com

从887开始,切换了端口
所以IOC为

Ip:145.14.144.10 port:47434 url:000webhost.com

下面都同理

总结

2019年5月2日21点36分,Adriana.breaux的windows主机被Hawkeye Keylogger恶意软件感染

细节:

主机名:BREAUX-WIN7-PC

用户名:Adriana.breaux

MAC地址:84:8f:69:09:86:c0

Ip地址:10.0.0.227

IOC:

Ip:145.14.145.4 port:21 url:000.webhost.com

Ip:145.14.145.4 port:37280 url:000webhost.com

Ip:145.14.144.10 port:21 url:000webhost.com

Ip:145.14.144.10 port:40651 url:000webhost.com

Ip:145.14.144.10 port:47434 url:000webhost.com

Ip:145.14.145.99 port:21 url:000webhost.com

Ip:145.14.145.99 port:36091 url:000webhost.com

Ip:145.14.145.99 port:35396 url:000webhost.com。

梦梦梦梦梦梦梦梦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量
最新发布
2301_82257383的博客
05-02 706
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
合天恶意流量分析
GrapeSour的博客
07-13 617
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
合天恶意流量分析
GrapeSour的博客
07-13 218
你的任务: 找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难? 先来看MARCUS的 先使用http.request过滤 可以看到主要有两个可疑的地方: 185.165.29.36—GET /trolls.jpg myexternalip.com—GET /raw 先追踪第一个tcp流看看 猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行 再看第二个 发现也没有user-agent 再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包 可以看到在异
合天恶意流量分析
GrapeSour的博客
07-08 459
实验目的:回答以下的问题 除了位于 172.16.3.2 的域控制器之外,网络上还有多少台主机处于活动状态? 列出在调查上一个问题时找到的主机的 IP 地址。 哪个 IP 地址代表运行 Ubuntu 的主机? 什么类型的主机使用 IP 地址 172.6.3.188? 哪个 IP 地址最有可能是 Amazon Fire 平板电脑? 哪三个 IP 地址代表连接到 172.16.3.2 的域控制器的 Windows 主机? 三个 Windows 主机中的哪一个显示出感染 Emotet 和 IcedID 银行木马
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量(1)
2401_84248681的博客
04-29 789
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
恶意软件分析资料大
我在全球村
05-31 2627
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
网络望远镜:检测和识别恶意互联网流量的方法
网络望远镜的目的是检测和记录来自网络蠕虫和病毒的恶意流量。 本文研究了一类被动类的观测流量的统计性质C望远镜总共三个月。我们观察到,只有少数IP源和目的端口负责大部分的交通。我们还演示了从望远镜中可视化...
ftp 命令详解
艾力克金
08-17 8868
1、ftp> ! 从ftp子系统退出到外壳 2、ftp> ? 显示ftp命令说明,与help相同 格式:? [command] 说明:[command]指定需要帮助的命令名称,如果没有指定command,ftp将显示全部命令的列表 3、ftp> append 使用当前文件类型设置,将本地文件附加到远程计算机的文件 格式:append local-file [remote...
日志流量分析之ftp传输过程分析
千寻的博客
09-18 3231
思路总结 第一步 使用wirshark结告警日志,分析可能存在的攻击类型:通过ftp进行传输的 第二步 结对ftp请求中中包含user\pass进行过滤,获得ftp传输的账号和密码 第三步 通过过来ftp-data确认传输的图片、文件,从而确认是窃取敏感信息的 第四步 通过分析目标主机的,确认攻击着的恶意ip地址 日志文件分析 第一步 获取数据包,并使用wirshark打开 第二步 分析告警日志信息,确实是通过ftp传输进入 第三步 通过过来ftp的协议,查看数据包 此时确认是通过ftp传输,初步判
合天恶意流量分析
GrapeSour的博客
07-10 261
任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先查看局域网内有几台主机 统计->Conversations->ipv4 所以确定有总共5台,分别为 172.16.1.67 172.16.1.89 172.16.1.141 172.16.1.201 172.16.1.255 ...
winpcap编程实现自动过滤FTP用户名及密码
Q1n6
12-15 3317
Wireshark提供了许多Filter Expression,我们可以很轻松的过滤出FTP的用户名和密码。请看下图 Filter Expression为ftp.request.command=="USER" or ftp.request.command=="PASS"。具体为什么查找FTP连接的建立过程,而且点击Expression之后可以看到wireshark封装了许多过滤规则。Wi
恶意流量分析训练五
Yale的博客
02-05 2512
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
从IOC的一些实际情况谈对其的评价标准
ITSM/ITIL/网络安全/IT运维
12-29 5131
从IOC的一些真相谈对其的评价标准 安全运营虎符智库账号2020-09-16 IOC作为威胁情报最基础也是最直接体现效果的类型,我们有必要理清一下其核心特性和现实状况,同时也谈一下对其的评价标准。 IOC与IDS检测的核心区别在于所覆盖的攻击阶段不同,IOC覆盖洛马模型的后三个阶段:安装植入(Installation)、命令控制(C&C)、达成目标(Actions on Objectives),在检测防御链上可以与传统IDS检测形成一定的互补。 IOC主要..
老朋友渗透测试+流量分析初尝试
susuate的博客
07-18 2416
因为图像隐写的实验需要用到malab函数,这里把学习过程中用到的基础的函数做一个汇总,方便之后查看。 -[r,c]=size(A) 当有两个输出参数时,size函数将矩阵的行数返回到第一个输出变量r,将矩阵的列数返回到第二个输出变量c。 -Floor函数 向下取整,去掉小数部分 Y = rand(m,n) 或 Y = rand([m n]) 返回一个m x n的随机矩阵。 ...
FTP协议中的RETR和STOR命令
u011029104的专栏
09-04 6311
RETR和STOR命令是FTP协议中的下载和上传命令, 可以针对文件和目录. 下边就下载和上传单个文件, 将在Telnet中测试的心得描述如下: 一. 下载文件 客户端命令序列: 开一个Telnet窗口(称为"控制窗口"), telnet 127.0.0.1 21 (连接FTP Server, 这里我用的是Wing FTP Server 3.4.1 30天测试版) ---> user anonymous (匿名登录) ---> pass <空格> (匿名登录无密码) ---&g
透透彻彻IoC(你没有理由不懂!)
stamen的程序员之路
04-18 275
[size=xx-large][b]引述[/b][/size]:IoC(控制反转:Inverse of Control)是Spring容器的内核,AOP、声明式事务等功能在此基础上开花结果。但是IoC这个重要的概念却比较晦涩隐讳,不容易让人望文生义,这不能不说是一大遗憾。不过IoC确实包括很多内涵,它涉及代码解耦、设计模式、代码优化等问题的考量,我们打算通过一个小例子来说明这个概念。 [b]...
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量...总的来说,恶意流量分析大数据建模是一种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值