问题
-
活动发送的时间,日期
-
哪台主机发生了什么
-
indicatirs(指标),包括(ip,域名等)
ip:172.16.2.169
mac地址:00:13:d4:1f:a2:5e
smb流量可以获取到hostname的类型
所以hostname是CONSERVATOR - PC
至于user account name还是使用kerberos
末尾带有¥的是hostname,末尾不带有¥的是windows account name,也就是user account name
数据包是从2018-06-30 20:27:15开始记录的
第一条告警日志的目的端口是49199
CNC指的是CNC服务器,一般恶意软件都会与远程攻击者进行通信,包括命令和控制,即command and control;CURRENT_EVENTS指一些值得注意的正在发生的事情;TROJAN指木马病毒等
先看TROJAN和current_events的
我们以此为条件进行过滤
所以可以知道可疑的活动是从20:27开始的
接下来我们着重关注报警日志中的CNC,CURRENTS_EVENTS,TROJAN
在告警日志中还有目的地址为93.95.100.138的80端口的流量
注意到结果中的host比较奇怪,可以去查一下它的顶级域kimbrelelectric.com
发现是一个在线分析恶意软件的引擎
可以看到这个顶级域与一个恶意的flashplayer的js文件有关,这正好对应着告警日志中的JS.SocGlhlish
JS.SocGlhlish表示着基于JS的社会工程学攻击,名称为“Gholish“
看到流量中指向lw2e.sineadhollywoordnutt.com的http get请求,url中包含“chromefiles”
追踪他的tcp流
在其代码中我们看到title显示为chrome更新
但是我们知道chrome更新都是从谷歌注册的域名处更新的,而这里不是,所以我们有理由怀疑这是钓鱼页面,我们可以将其导出
我们查找在第一条lw2e.sineadholluwoodnutt.com之后的流量,如果有可疑的,那么就跟着分析;这里要注意,可能是走http也可能是https,而且可能会涉及到dns协议用于解析域名
在这里发现了dropbox
在很多攻击行为中,攻击者会选择dropbox来分发恶意软件,而且在这个数据包里,访问lw2e.sineadholluwoodnutt.com之后马上就是访问dropbox,联想到钓鱼页面,这样我们不难推测出这个场景下dropbox就是用于分发恶意软件的
在告警日志中我们注意到,通过dropbox下载恶意文件后,很快就告警cnc了
注意到端口为4143,在wireshark中我们过滤出107.170.231.118
我们可以判断出这应该是chrome升级的链接,当受害者点击假的升级按钮后,钓鱼页面做了两件事—一件是下载恶意文件,一件是连接都真正的升级服务进行chrome升级,免得被受害者发现自己被钓鱼了
所以
indicators:
93.95.100.178-80-lw2e.sineadhollywoodnutt.com-发往伪造的chrome更新页面的http请求
107.170.231.118-4143-Feodo产生的tcp流量-多次尝试tcp连接但是没有从服务端收到响应