为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括:
以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。
pcap 中 Windows 主机的 IP 地址。 pcap 中
Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。
给出了两个eml文件,先下载查看器
apt-get install thunderbird
eML文件是将邮件归档后生成的文件,保留着原来的HTML格式和标题
发现下面有一个压缩包,去提取出来
解压得到一个可执行文件
分析他的哈希值
这里有个常识一定要注意:在分析恶意文件时千万不要把恶意软件提交到virustotal等其他在线分析网站上,而是使用该文件的hash去搜索。因为如果我们在应急响应或者在其他作为防御方的情况下,如果我们提交的是恶意软件,恶意软件的制作者可以从virustotal等网站上知道某人提交了该软件,也就是说攻击者就会知道自己的攻击行为已经暴露了,这样在后续过程中可能就会改变攻击策略。所以我们应该通过hash来查找是否有相应资料。
查找前面得出的hash
可以看到该文件已经被提交到virus total,hybrid analysis等网站了
我们进入reverse.it看看该网站在其沙箱中分析出来的结果
对照suricata的告警日志
可以看到是ET TROJAN Formbook 0.3 Checkin
这与我们直接将数据包上传到packet total的结果是一样的
接下来看看第二个eml文件
还是同样的方法得到附件文件
计算哈希值
进行搜索
可以看到又是恶意文件
这次还是使用reverse.it分析引擎打开
可以看到snort和suircata都有告警
分析完两个eml文件,我们开始分析数据包
发现http流跟之前的reserve it中看到的十分相似
记不记得前面我们分析过的例子,总会有一种流量—当服务端停止响应时,受害主机(客户端)会继续发送TCP SYN包希望三次握手建立连接,我们看看现在这个数据包中有没有这种流量
我们会用到以下的语法:
tcp.flags eq 0x0002 用于过滤tcp syn包
tcp.analysis.retransmission 用于过滤retranmitted重传包
dns.qry.name 用于过滤dns query流量(因为访问制定的域名前都需要通过dns解析)
将其组合起来,过滤语句就是
tcp.flags eq 0x0002 and tcp.analysis.retransmission表示tcp syn的重传包
然后使用or拼接 dsn.query.name
最后得到
(tcp.flags eq 0x0002 and tcp.analysis.retransmission) or dns.qry.name
从流量中可以看到10.1.1.97先是去查询www.yunshangcms.com的ip,得到为47.93.157.247,接着去访问该ip
继续往下看,同样可以看到
10.1.1.97查询www.heapto.com,得到其ip为64.32.26.89然后尝试进行访问
第二个数据包
同样的
http.request or tcp.flags eq 0x0002 or ssl.handshake.type == 1 or dns.qry.name
-
有dns查询forum.crytopia.gdn的流量并随后进行了访问,这是个加密论坛,其他更有用的消息搜索引擎没找到
-
看到了前面我们分析出的url编码的敏感信息的流量指向了108.61.179.223
-
看到了5938端口,这是teamviewer使用的,但是可以看到目的ip不止一个
Teamviewer本身是用于远程桌面访问的正常软件,所以我们推测攻击者可能将恶意软件与其一起重新打包,这样就可以感染和控制受害者的机器了,也就能解释为什么会产生上述的可疑流量。
所以我们推测这个word有一个嵌入的vbs文件,当用户点击后就自动下载恶意可执行文件然后就被感染,所以产生了这些异常流量。
综上所述,可以得到答案:
第一个数据包:
host name:Chris-Lyons-PC
host ip addresss:10.1.1.97
mac address:00:222:15:d4:7a:e7
邮件信息:
日期:Thursday 2017-12-14,18:14 utc
FROM:Le Huong-accounts
TO:chris.lyons@supercarcenterdetroit.com
主题:Fe:Re:PI no. SO-P101092262891
附件名:Proforma Invoice P101092292891 TT slip pdf.rar.zip
相关恶意文件:
SHA256 hash: 435bfc4c3a3c887fd39c058e8c11863d5dd1f05e0c7a86e232c93d0e979fdb28
File 大小: 228,458 bytes
File 名称: Proforma Invoice P101092292891 TT slip pdf.rar.zip
File 描述: Zip archive attached to the malspam
SHA256 hash: 9a9d7a41c404b9044a82727996d53222d996f03d71e4839245dbeeaf4c685f77
File 大小: 471,040 bytes
File 名称: Proforma Invoice P101092292891 TT slip pdf.rar.exe
File 描述: Extracted executable from the above zip archive
第二个数据包:
host name:Drrenell-PC
ip address:10.1.1.213
mac address:00:08:7c:39:da:12
邮件信息:
日期:Thursday 2017-12-14 at 21:34 UTC
FROM:Black Friday Shopping Voucher
TO:darnell@castillomtorsports.com
主题:Woosters Almost Sold Out! Black Friday Prices + Free Shipping For A Few
More Hours!
附件:Black Friday.zip
相关恶意文件:
SHA256 hash: 5fd4b1ef7a3069c8ae76b83f220e0beff5b2b7f939357656f4b198ed02cd850c
File 大小: 36,018 bytes
File名称: Black Friday.zip
File 描述: Zip archive attached to the malspam
SHA256 hash: a7447db99ba60c2f7bfd9e9bcfadfb05a4fc0ea214450b76ea85d386db1f727b
File大小: 40,596 bytes
File 名称: Black Friday.docx
File 描述: Extracted Word document from the above zip archive