合天恶意流量分析四

最新推荐文章于 2021-11-02 17:24:40 发布
最新推荐文章于 2021-11-02 17:24:40 发布
阅读量235 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrapeSour/article/details/118613503
版权

任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。

首先查看局域网内有几台主机

统计->Conversations->ipv4
在这里插入图片描述
所以确定有总共5台,分别为
172.16.1.67
172.16.1.89
172.16.1.141
172.16.1.201
172.16.1.255

首先我们来看172.16.1.67
将他的http请求过滤出来
在这里插入图片描述
发现他连续发送了两条一模一样的get请求,所以推测他感染了Emotet木马

再看172.16.1.89
在这里插入图片描述
这个流量没有什么用,那就看一下https的
在这里插入图片描述
前面两个ip地址一看就是google
在这里插入图片描述

在这里插入图片描述
所以看第三个185.22.184.127
在这里插入图片描述
发现不对经,去百度上搜索,发现是一个NonoCore RAT malware恶意

172.16.1.141

首先查看http和https
在这里插入图片描述

在这里插入图片描述
发现并没有什么有用的东西

熟悉tcp的三次握手的流程都知道,第一步是发送syn,syn的flag是0x0002,同时因为我们要找的流量其目的地址不应该是同个局域网内的,这又是一个过滤条件,所以结合分析过滤条件为

ip.addr eq 172.16.1.141 and tcp.flags eq 0x0002 and !(ip.dst eq 172.16.1.0/24)

发现一个2017的可疑端口,他的目的ip是174.127.99.158,对这个ip进行过滤
在这里插入图片描述

发现只有syn和rst包,却没有正常该有的syn ack,说明这里流量是有问题的,我们用搜索引擎查查这个ip,发现是一个黑名单ip
接下来结合告警日志看看
可以看到是 Tempedreve malware,恶意文件名可能为21Payment Slip.exe

172.16.1.201

在这里插入图片描述
在这里插入图片描述
发现一个洋葱路由
所以分析出来为GLobelmposter Ransomware.

梦梦梦梦梦梦梦梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
day 7:重传机制;TCP三次握手(详细描述);TCP次握手
jieyannn的博客
04-29 542
重传机制 重传机制有两种:go-back-N,selective repeat。stop and wait协议下的重传机制比较简单,因此重点讨论sliding window下的重传机制。 go-back-N:顾名思义,假如N=4,我一开始发的是data1、2、3、4,结果1、3、4都有ack了,2直到timeout了都还没有ack。于是,原本的节奏是准备发5、6、7、8,现在我只能重发2、3、4、...
bugku——分析(流量分析)题解
小锤队长的博客
10-19 4234
目录 1,flag被盗 2,中国菜刀 3,这么多数据包 4,手机热点 5,抓到一只苍蝇 6,日志审计 7,weblogic 8,信息提取(超详细) 9,特殊后门 1,flag被盗 ctrl + f 打开搜索框,搜flag ,找到 93 个数据包里有 flag.txt字样, 右键,追踪 TCP数据流,在其中看到了 flag: flag{This_is_a_f10g}...
恶意流量分析训练
Yale的博客
02-05 2149
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
合天恶意流量分析
GrapeSour的博客
07-13 202
你的任务: 找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难? 先来看MARCUS的 先使用http.request过滤 可以看到主要有两个可疑的地方: 185.165.29.36—GET /trolls.jpg myexternalip.com—GET /raw 先追踪第一个tcp流看看 猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行 再看第二个 发现也没有user-agent 再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包 可以看到在异
Wireshark教程:设置过滤
m0_37442062的博客
04-30 3406
本教程使用Windows感染流量示例,这些流量来自通过大规模分发方法(如恶意垃圾邮件(malspam))或Web流量分发的商品恶意软件。 在恶意软件(通常是Windows可执行文件)感染Windows主机之前,这些感染可以遵循许多不同的路径。 指标包括从网络流量中获取的与感染相关的信息。 这些指标通常称为危害指标(IOC)。 安全专业人员经常记录与Windows感染流量相关的指示器,例如URL,域名,IP地址,协议和端口。 正确使用Wireshark显示过滤器可
全流量日志AI智能分析系统.pdf
09-05
全流量日志AI智能分析系统是一种专为解决中小型企业网络安全态势感知难题而设计的创新解决方案。长扬科技推出的这款一体机结合了全流量日志分析和人工智能技术,旨在弥补大型企业在边缘分析设备上的不足,特别是在...
【推荐】最新金融安全解决方案和实践合集.zip
07-26
加密流量恶意软件分析在金融场景的实践; 建设新一代金融业智慧安全态势感知平台; 建设银行网络安全防护体系演进及威胁情报探索应用; 金融安全与区块链分论坛.金融分布式账本安全规范; 金融安全与区块链分论坛....
raw socket 大合集
01-02
通过捕获并分析网络流量,可以监控网络活动,用于安全审计和故障排查。 ### 6. 安全与限制 由于raw sockets的权限较高,一般仅限于root用户使用,以防止恶意攻击。在使用raw sockets时,必须谨慎处理,避免滥用...
最实用的几个小工具合集
09-22
最后,"b冰刃(icesword) V1.22.rar"是一个强大的系统底层分析工具。IceSword,又名冰刃,可以用来检测和处理系统中的隐藏进程、服务、注册表项等,对于排查系统问题、揪出恶意软件有着显著的效果。虽然它的使用需要...
安恒战略发布资料合集.zip
05-28
态势感知是网络安全领域的重要组成部分,它通过收集和分析网络中的各种信息,包括日志、流量数据、威胁情报等,来实时监控网络状态,预测潜在威胁,并做出及时响应。安恒公司在这一领域的产品可能包括先进的威胁检测...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(二)
Ax的博客
09-16 1533
网络空间安全 恶意流量和恶意代码 学习入门(二)
malware-traffic-analysis 2014-11-16 流量分析恶意代码分析
weixin_46578840的博客
11-02 967
流量包下载 题目: 第 1 级问题: 1) 被感染的 Windows 虚拟机的 IP 地址是多少? 2) 被感染的 Windows 虚拟机的主机名是什么? 3) 受感染虚拟机的 MAC 地址是多少? 4) 受感染网站的 IP 地址是什么? 5) 被入侵网站的域名是什么? 6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么? 第 2 级问题: 1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么? 2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪
合天恶意流量分析
GrapeSour的博客
07-13 596
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
恶意流量分析训练五
Yale的博客
02-05 2464
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 5924
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
Wireshark教程:使用Wireshark寻找主机信息
热门推荐
m0_37442062的博客
04-29 1万+
使用Wireshark寻找主机信息 网络中产生流量的任何主机都应具有三个标识符:MAC地址,IP地址和主机名。 我们如何使用Wireshark查找此类主机信息?我们对两种活动进行过滤:DHCP或NBNS。 DHCP流量可以帮助识别连接到网络的几乎所有类型的计算机的主机。 NBNS流量主要由运行Microsoft Windows的计算机或运行MacOS的Apple主机生成。 实验一 来自DHCP流量的主机信息 DHCP 流量对于大多数类型的网络连接可以帮助识别主机 DHCP Request >Boot
2024年欧洲加氢脱硫催化剂市场主要企业市场占有率及排名.docx
最新发布
07-04
2024年欧洲加氢脱硫催化剂市场主要企业市场占有率及排名
2024年欧洲加工食品市场主要企业市场占有率及排名.docx
07-04
2024年欧洲加工食品市场主要企业市场占有率及排名
电梯控制系统:LME66_控制器说明一部分改06.6.10.doc
07-04
电梯控制系统:LME66_控制器说明一部分改06.6.10.doc
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值