如何通过“流量线索”进行恶意程序感染分析

最新推荐文章于 2024-05-27 19:00:00 发布
最新推荐文章于 2024-05-27 19:00:00 发布
阅读量333 收藏 2
点赞数
原文链接:http://www.cnblogs.com/bonelee/p/11382112.html
版权

流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)

 

场景说明:

我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。

1

 

场景详细分析:

用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:

2

可以看到除了一些http GET和POST请求,没有其他发现。见下图:

3

我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:

4
        通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图:

5

点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图:

6

只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图:

8

而这里的报告,我们注意到它有评论。如下图:

9
        多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里,一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图:

9

这到底是什么恶意软件?也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图:

10

 

转载于:https://www.cnblogs.com/bonelee/p/11382112.html

djph26741
关注
2024世界技能大赛某省选拔赛“网络安全项目”B模块--数据包分析(SMB流量)
Aluxian_的博客
07-24 551
A 集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击,并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,并分析黑客的恶意行为。本任务素材清单:捕获的网络数据包文件(*.pcap) 请按答题卡的要求完成该部分的工作任务。1.受感染的 Windows 主机名是什么?将答案通过MD5 运算后返回哈希值的十六进制结果作为Flag值提交(形式:十六进制字符串);2.受感染的windows主机用户帐户名是什么?将答案通过MD5 运算后返回哈希值的十六进制结果作为Flag值提交(形式:十六进
网络攻击之-Webshell流量告警运营分析
村中少年的专栏
01-01 1407
通过流量数据包从webshell上传,webshell注入,webshell连接通信,Webshell工具利用的角度进行阐述Webshell的防御,告警研判以及处置建议
wireshark、被嗅探的流量、数据包中的线索
weixin_50644728的博客
10-28 1501
Wireshark工具使用教程 安装链接: 工具介绍: Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码! 使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。 wiresha
Buuctf 流量中的线索
Dexret的博客
11-18 3258
下载该文件,发现该文件为一个wireshark流量包文件 用wireshark打开该文件 发现好多tcp和http的数据包,过滤该数据包 选择一条http的数据包,右键选择数据流追踪 发现有一段很长的代码,这段代码很像base64加密 在网上找一个base64解码工具 BASE64转图片 - 站长工具 - 极速数据 (jisuapi.com)https://tool.jisuapi.com/base642pic.html解码该段代码后发现是一张图片,且该题flag就在图片上 ...
buuctf_misc_流量中的线索
m0_73118788的博客
02-26 373
题目:(打开是个wireshark文件)(这要追踪从上往下最后一个HTTP昂)
0507一日一恶意代码流量分析
m0_37442062的博客
05-09 602
题目下载 1.分析: 对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。 2.使用filter...
BuuCTF 数据包中的线索
qq_52907838的博客
08-06 713
下载附件,得到一个pcappng的文件: 看到这个后缀加上题目中有流量,就想到用wireshark打开,如果还不知道wireshark如何安装和使用可以看一下这篇文章:wireshark抓包新手使用教程 - 锅边糊 - 博客园 (cnblogs.com) 打开后看到TCP的包,直接过滤http的包,查看HTTP包,看到第二个HTTP包中有类似于base64加密的东西: 拿去解密:https://the-x.cn/base64 发现是图片,另存为图片: 得到答案。 ...
pc样本学习笔记之脚本类恶意程序的快速分析技巧.docx
05-01
通过对脚本类恶意程序进行细致地分析,我们可以快速识别其关键行为模式并采取相应措施加以阻止。此外,持续关注最新的威胁情报以及加强自动化检测工具的研发也是提高应对效率不可或缺的一环。希望本文能为读者提供有...
学习笔记-第十一章 恶意代码分析实战
Yes_butter的博客
03-22 1208
第十一章 恶意代码行为 //第10章是使用windbg调试内核,奈何学习精力有限,先跳过内核调试的学习 1.下载器和启动器 下载器从互联网上下载其他的恶意代码,然后在本地上运行。下载器通常会与漏洞利用打包 在一起。下载器常用的Windows API函数URLDownloadtoFileA和WinExec,并下载运行新 的恶意代码。 启动器(也称为加载器)是一类可执行文件,用来安装立即运行或...
网络攻击攻击之-远程代码执行/RCE告警运营分析
最新发布
村中少年的专栏
05-27 304
从远程代码执行的定义,流量数据包,suricata规则,告警研判,处置建议等几个方面阐述如何通过IDS/NDR,态势感知等流量平台的远程代码执行类型的告警的线索,开展日常安全运营工作,从而挖掘有意义的安全事件。
恶意流量分析训练五
Yale的博客
02-05 2529
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
通过流量取证对恶意软件进行动态行为分析
blackorbird的博客
09-04 433
通过流量取证对恶意软件进行动态行为分析链接:https://freddiebarrsmith.com/mastersthesis.pdf简介内容:主要目的...
buuctf misc 刷题记录
zx66661的博客
04-22 2246
目录 流量中的线索 荷兰宽带数据泄露 后门查杀 webshell后门 被劫持的神秘礼物 流量中的线索 下载后解压是一个数据包 过滤http追踪http 导出文件 下载下来打开fenxi.php发现最后有= 猜测是base64 在浏览器栏输 data:image/png;base64, 编码内容可以直接看到图片 荷兰宽带数据泄露 使用 RouterPassView 1.88 中文免费版 下载地址:https://www.onlinedown....
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 8848
BUUCTF题目Misc部分wp(持续更新)
shark初步使用
w2vmany的博客
03-14 914
去上网搜了flag的编码字符串,以便使用Unicode:f;l;a;g(flag)下面几题就是区分大小写问题,换unicode编码搜索问题(还有一题for1是和usb有关,我放到后面再写)
Wireshark(流量分析题)WP
Fear1e4的博客
03-11 820
一个pcap包,一个hink。要我们找私钥,打开之后先用过滤找tcp包里带有“key”的。发现带有base64编码,追踪流拿出来用工具解码一下。没解出来,发现带着个png。下载下来发现里面看着像私钥。用ocr识别完,再纠正一下,用hink里的套一下。然后搜一下http传输内容,追踪一下流,发现flag。
流量分析练习-2014-11-16-traffic-analysis-exercise.pcap
wangtiankuo的博客
01-11 2449
pcap包来自https://www.malware-traffic-analysis.net/2014/11/16/index.html 问题与回答 LEVEL 1 QUESTIONS: 1)     What is the IP address of the Windows VM that gets infected? 通过查询语句“bootp”or“udp.port==67”查询到了...
解析pcap
weixin_45534297的博客
06-23 1594
需求:我们需要从恶意流量中的log中提取其ip地址。再根据ip地址去从tcpdump中采集pcap包,把恶意流量提取出来。 首先是初版的解析pcap包 import os from scapy.all import * import scapy.all as scapy import sys import csv from time import strftime, localtime # f = open('log/dealpcap.log', 'a') #日志的重定向输出 # sys.stdout =
恶意软件流量检测系统
weixin_33712987的博客
01-12 922
maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。https://github.com/stamparm/maltrail 转载于:https://blog.51cto.com/0x007/17343...
恶意程序分析:PE、PDF与HTML病毒深度解析
恶意程序分析涉及多种工具,如Ollydbg和Windbg用于调试,IDA用于反汇编,Vmware创建虚拟环境进行动态分析,010Editor用于二进制编辑,HIPS类监控软件检测系统行为,XueTr和ARK工具辅助分析,以及VT(VirusTotal)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值