合天恶意流量分析八

最新推荐文章于 2024-04-29 05:05:39 发布
最新推荐文章于 2024-04-29 05:05:39 发布
阅读量232 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrapeSour/article/details/118704109
版权

你的任务:
找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难?

先来看MARCUS的

先使用http.request过滤

在这里插入图片描述
可以看到主要有两个可疑的地方:

185.165.29.36—GET /trolls.jpg

myexternalip.com—GET /raw

先追踪第一个tcp流看看
猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行

再看第二个
发现也没有user-agent

再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包

在这里插入图片描述

可以看到在异常流量之间存在着443,9001端口的流量

https常会走443,tor常会走9001,也就是说,这两个端口的流量可能是https/ssl/tls加密过的

所以使用ssl.handshake.extensions_server_name作为过滤条件

发现了一些奇怪的sever name
在这里插入图片描述
将这个数据包上传到virustotal分析,看到suricata的结果
在这里插入图片描述

下面看marion

在这里插入图片描述

发现.top域名,进行搜索

这个域名与Cerber有关

将其上传到virustoal看看分析结果
可以看到有针对Cerber,Kovter以及其他恶意软件比如JS或WSF下载器等的告警日志

所以我们推测GET /countet?*的流量是JS/WSF文件下载器的链接

而那个top域名是Cerber勒索软件使用的

下面看邮件
其中一个邮件解压后得到一个js脚本
使用文本编辑器打开
在这里插入图片描述
通过其hash去搜索引擎看看
在这里插入图片描述
在reverse.it看到其通信特征

这与marion的特征很像

在这里插入图片描述
在这里插入图片描述
在reverse.it分析出的http流量中看到与marion的也很相似,相比于上一封邮件,这次的js文件的流量的目的ip与marion数据包中的都是相同的,所以我们推测正是这封邮件使得marion的电脑受到感染

在这里插入图片描述
发现一封求职信
在这里插入图片描述
根据hash值搜索
可以在revese.it中看到其通信特征
这与marcus数据包中/trolls.jpg那条流量的ip完全相同,所以可以确定该邮件导致marcus电脑受到感染。
综上所述,答案如下:

下面的邮件感染了Marcus’s 电脑

Date: 2017-04-17 at 21:55 UTC

From: “see shenandoah memorial hospital” mautzel1982@t-online.de

To: dunhambrothers@dunhamhillsmortuary.com

主题: Hi

附件: see shenandoah memorial hospital.doc

下面的邮件感染Marion’s 电脑:

Date: 2017-04-08 at 12:20 UTC

From: privileges@ns3.logomotion-serveur.com

To: dunhambrothers@dunhamhillsmortuary.com

主题: Package Delivery Notification

附件: FedEx-Parcel-ID-S0JM7T30.zip

梦梦梦梦梦梦梦梦
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量
最新发布
2301_82257383的博客
05-02 727
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
合天恶意流量分析
GrapeSour的博客
07-08 303
合天恶意流量分析一 首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志 第一条 收到whatismyaddress.com的请求 这是一个正常流量,是查看我们的出网端口的ip地址 第三条 是一个FTP stor的命令 这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上 第四条 是一个Hawkeye Keylogger的一个木马 用键盘记录器发送数据 所以通过以上分析,可以使用ftp过滤协议
合天恶意流量分析
GrapeSour的博客
07-10 275
任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先查看局域网内有几台主机 统计->Conversations->ipv4 所以确定有总共5台,分别为 172.16.1.67 172.16.1.89 172.16.1.141 172.16.1.201 172.16.1.255 ...
golang中net包用法
manclient的博客
01-22 3763
net包提供了可移植的网络I/O接口,包括TCP/IP、UDP、域名解析和Unix域socket. 虽然本包提供了对网络原语的访问,但大多数使用者只需要Dial、Listen和Accpet函数的基本接口;以及Conn和Listener接口。crypto/tls包提供了相同的接口和类似的Dial和Listen函数。 常量 //表示ip地址的长度(bytes),其中ipv4的长度为4,ipv6为16 const ( IPv4len = 4 IPv6len = 16 ) 常见的ip
恶意流量分析训练六
Yale的博客
02-05 1556
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
常见漏洞的流量特征
m0_62207482的博客
02-28 2305
如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容。例 http://127.0.0.1/pikachu/vul/ssrf/ssrf_curl.php?()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。
恶意软件分析资料大合集
我在全球村
05-31 2699
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量(1)
2401_84248681的博客
04-29 814
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
学习笔记-第十三章 恶意代码分析实战
Yes_butter的博客
03-25 1272
第13章 数据加密 在恶意代码分析中,术语数据加密是指以隐藏真是意图为目的的内容修改。由于恶意代码 使用加密技术隐藏它们的恶意活动,作为分析人员,要全面的了解恶意代码,就需要掌握 这些技术。 1.分析加密算法的目的 - 隐藏配置信息。如:命令和控制服务器域名 - 窃取信息之前将它保存到一个临时文件。 - 存储需要使用的字符串,并在使用前对其加密。 - 将恶意代码伪装成一个合法的...
Go实战--获取公网ip、查看内网ip、检测ip类型、校验ip区间、ip地址string和int转换、根据ip判断地区国家运营商
WorldMvp的专栏
05-10 3209
一、简要介绍net包 1. func ParseIP func ParseIP(s string) IP ParseIP parses s as an IP address, returning the result. The string s can be in dotted decimal (“192.0.2.1”) or IPv6 (“2001:db8::68”) form. If ...
在线查询IP及IP信息
soEase
04-03 2669
1. 外网IP查询 https://www.ipify.org/ curl https://api.ipify.org 2. IP地址信息查询 https://ipapi.co/api/#specific-location-field curl 'https://ipapi.co/125.71.129.228/json/' 返回json格式所有数据 curl 'ht...
恶意流量分析训练
Yale的博客
02-05 1490
通过该实验通过分析多个eml文件,并根据附件文件进行分析,结合在线分析引擎给出的流量特征结合比对掌握分析技术,本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。 给出使用给出了大量邮件附件,请分析判断哪封邮件感染了Marcus的电脑,哪封邮件感染了Marion的电脑 先来看MARCUS的 先使用http.request过滤 可以看到主要有两个可疑的地方: 185.165...
解析pcap包
weixin_45534297的博客
06-23 1622
需求:我们需要从恶意流量中的log中提取其ip地址。再根据ip地址去从tcpdump中采集pcap包,把恶意流量提取出来。 首先是初版的解析pcap包 import os from scapy.all import * import scapy.all as scapy import sys import csv from time import strftime, localtime # f = open('log/dealpcap.log', 'a') #日志的重定向输出 # sys.stdout =
malware-traffic-analysis 2014-11-16 流量分析恶意代码分析
weixin_46578840的博客
11-02 1051
流量包下载 题目: 第 1 级问题: 1) 被感染的 Windows 虚拟机的 IP 地址是多少? 2) 被感染的 Windows 虚拟机的主机名是什么? 3) 受感染虚拟机的 MAC 地址是多少? 4) 受感染网站的 IP 地址是什么? 5) 被入侵网站的域名是什么? 6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么? 第 2 级问题: 1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么? 2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪
获取本机外网IP地址(External IP Address)
menjoy的专栏
12-15 1161
import java.io.IOException; import java.io.InputStream; import java.net.HttpURLConnection; import java.net.MalformedURLException; import java.net.URL; import java.util.regex.Matcher; import j...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 6383
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
利用nginx来屏蔽指定的user_agent的访问以及根据user_agent做跳转
weixin_33971130的博客
12-14 1138
对于做国内站的我来说,我不希望国外蜘蛛来访问我的网站,特别是个别垃圾蜘蛛,它们访问特别频繁。这些垃圾流量多了之后,严重浪费服务器的带宽和资源。通过判断user agent,在nginx中禁用这些蜘蛛可以节省一些流量,也可以防止一些恶意的访问。 方法一:修改nginx.conf,禁止网络爬虫的user_agent,返回403。 1、进入nginx的配置目录,例如cd /usr/local/ngi...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(二)
Ax的博客
09-16 1622
网络空间安全 恶意流量和恶意代码 学习入门(二)
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值