统计->ipv4 statics->all address,如图所示
发现通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136
NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名
所以选中一条nbns的数据
这个为mac地址和主机名
查询用户名的话,查http的请求
发现一个post 的singup的请求,再追踪流之后发现了邮箱
所以姓名信息为Donald.mccoomb
然后再分析用户感染了哪些恶意软件,以及如何被感染的。
再注册完邮箱之后有一个十分奇怪的请求,追踪这个请求看看
将两个域名拼接起来,发现是一个
可以看到这是恶意软件
而这条链接分析博客的分析是恶意脚本下载的源链接,其模式与博客给出的其他链接相同
最后指出这是Locky Malware
后面的post请求是用户被感染之后访问其他网页产生的流量。
在后面发现了.top的域名,很多恶意软件都是注册.top
追踪tcp流之后发现是从这个域名过来之后被定向访问到了.top
接下来结合snort日志分析,根据目的ip去日志中检索
可以看到snort检测到是属于Angler exploit-kit发起的攻击,后面还提示是landing page,那么一定会传递载荷
所以猜测使用http的方式传递载荷的
我们通过搜索引擎检索到第一篇捕捉到该攻击的推文
所以就可以推测这443k的文件就是伪装成swf格式的flash文件
再往下看发现一串比较奇怪的
追踪流之后发现
用户又被定向了,查看ip地址再进行搜索告警日志
又是Angler Exploit-Kit
因为实际攻击中ip是可能动态变化的,而一般端口是不会变得,所以我们的办法就是在source ip为10.0.21.136时,看看目的端口有哪些
发现主要是80和443端口的
接下来结合关键字Agnler exploit-kit一起去搜索引擎搜索
可以看到与443,80有关的通信是由于Crypt ransomware
从文章的分析思路中可以看到Crypt ransomware是由Angler EK派生的
所以我们就可以得出结论了:
用户受到了三次感染,第一次是来自malware spam的Locky ransomware,第二次是Angler EK的文件(由分析文章推知是伪装的swf文件),第三次是Angler EK的CryptXXX ransomware。