本文详细记录了一次恶意软件感染事件的调查过程。通过MAC地址追踪,发现感染发生在2018年4月10日晚上,由http请求从caveaudeleteatro.it下载的恶意文件导致。该文件被确认为Trickbot恶意软件,通过计算其SHA256哈希值并在Virustotal上查证。整个分析涉及网络流量监控、恶意二进制文件导出和在线安全资源的利用来识别潜在威胁。
任务
感染日期/时间
谁被感染(IP 地址、主机名、MAC 地址和用户帐户名)
涉及哪些恶意软件
这种感染的可能来源
与此感染相关的指标(IP 地址、域、URL 和文件哈希,如果有)
mac地址 00:30:67:f1:2d:63
通过查询nbns流量得到
之后也是正常操作,查看http和https
发现第二条通过http get方式获取到恶意二进制程序
第三条是使用myexternal.com网站查询出口ip
前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出
将他导出,发现
那就管不了了
下面复制wp的
其中有一步是这样做的,就是查看感染的时间
在首选项中,进行搜索
然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件
打开virustotal
search然后在输入框中输入hash值
点击右边的放大镜搜索
搜索结果如下
从下面的comment可以看出这可能是trickbot恶意软件
接下来我们看看是什么时候从哪儿感染的trickbot
可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的
4747
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
