0507一日一恶意代码流量分析

最新推荐文章于 2024-05-07 15:09:26 发布
最新推荐文章于 2024-05-07 15:09:26 发布
阅读量594 收藏 1
点赞数 1
分类专栏: malware 文章标签: malware malware-traffic-analysis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37442062/article/details/90003864
版权

题目下载

  • 1.分析:

对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。

  • 2.使用filter看到帐户名、密码和存储到服务器的文件:

ftp.request.command eq USER or ftp.request.command eq PASS or ftp.request.command eq STOR

  • 3.使用filter   

 ftp-data

 

  • 4.点击第一项,右键follow the TCP stream

  • 5.点击第一项含图片文件,右键follow the TCP stream

 

更改时间显示格式为UTC

查看>“时间显示格式”

“从捕获开始后的秒”更改为“UTC日期和时间日”。

分辨率从“自动”更改为“秒”。

由于版本的问题无法添加列:

只好单条查看。

Executive summary:

On 2019-05-02 at  16:42 UTC, a Windows host used by Adriana Breaux was infected with a Hawkeye keylogger

Details of the infected Windows host:

IP address: 10.0.0.227
MAC address: 84:8f:69:09:86:c0
Host name: BREAUX-WIN7-PC
Windows user account name: adriana.breaux

Indicators of Compromise:

104.16.154.36 port 80 - whatismyipaddress.com - GET /

154.14.145.4 port 21 - files.000webhost.com - FTP control channel

154.14.144.10 port 21 - files.000webhost.com - FTP control channel

154.14.145.99 port 21 - files.000webhost.com - FTP control channel

154.14.145.4 port 37280 - files.000webhost.com - FTP data channel

154.14.144.10 port 40651 - files.000webhost.com - FTP data channel

154.14.144.10 port 47434 - files.000webhost.com - FTP data channel

154.14.145.99 port 36091 - files.000webhost.com - FTP data channel

154.14.145.99 port 35396 - files.000webhost.com - FTP data channel

[List of URLs, domains, IP addresses, and SHA256 hashes related to the infection should appear in this section]

进一寸有一寸的欢喜077
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
幼儿园幼儿一日生活安排表
04-03
幼儿园幼儿一日生活安排表
合天恶意流量分析
qq_26314251的博客
07-13 281
合天恶意流量分析(一) 在实验指导书的基础上学习 https://blog.csdn.net/yalecaltech/article/details/104176512 现有材料 用户机被入侵时的数据包;用户机警报日志 实验任务 任务 分析现有的材料,针对受害的windows主机写一份应急报告。建议的模板如下: 总结: 在xx时间, 一台window主机被xx感染 细节: IP address: MAC address: Host name: Windows
黑苹果安装中的一些问题
magic_eye的博客
02-07 2万+
安装教程主要参考的是黑果小兵的安装教程: 黑果小兵安装教程 常见问题可参考以下: 10.15 Catalina安装问题汇总 10.14 Mojave安装问题汇总 自己遇到的一些问题: 1、抹盘时提示"MediaKit报告设备上的空间不足以执行请求的操作"的原因及解决方法: 这个在黑果小兵的常见问题中已经有提到了,就是如果报这个错,那么就是你在安装之前应当先建立一个>=200M的ESP分区。我...
毕设成品 基于机器学习的恶意流量识别检测
最新发布
rjqqew的博客
05-07 581
今天学长向大家介绍一个关于网络安全相关的毕设项目基于机器学习的恶意流量识别检测🧿选题指导, 项目分享:见文末目前使用加密通信的恶意软件家族超过200种,使用加密通信的恶意软件占比超过40%,使用加密通信的恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。HTTPS协议也称为SSL上的HTTP安全或超文本传输协议,是以安全为目标的 HTTP 通道,通过传输加密和身份认证保证了传输过程的安全性。
蒟蒻信安笔记1:网络扫描与网络侦查
SilentNumen的博客
11-08 759
网络渗透测试实验一1.搜索麻省理工学院网站含“network security” 的pdf文档2.搜索照片中的位置信息3.手机位置定位4.Base64编码解码5.地址信息5.1 MAC:98-CA-33-02-27-B5 访问 202.193.64.345.2 比较https://whatismyipaddress.com得到ip地址 与 从自己主机查到的ip地址6.NMAP使用(而后单独更新)7.zoomeye搜索西门子工控设备8.Winhex简单数据恢复与取证8.1 修复jpg文件8.2 笑
使用 Python 分析网络流量
CSDN
05-28 7941
Nmap进行伪装扫描时,伪造数据包的TTL值是没有经过计算的,因而可以利用TTL值来分析所有来自Nmap扫描的数据包,对于每个被记录为Nmap扫描的源地址,发送一个ICMP数据包来确定源地址与目标机器之间隔了几跳,从而来辨别真正的扫描源。为了生成含有该指定字节序列的数据包,可以使用符号\x,后面跟上该字节的十六进制值。整合所有的代码,生成可以触发DDoS、exploits以及踩点扫描警报的数据包: -s参数指定发送的源地址,这里伪造源地址为1.2.3.4,-c参数指定发送的次数、只是测试就只发送一次即可。
恶意流量分析(一)
weixin_41487541的博客
11-26 2391
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
一日代码
03-20
在这个实验中,我们关注的是“前一日代码”,这通常是指一个程序或算法,它能够计算并返回当前日期前一天的日期。这个概念在许多应用程序中都有应用,例如日历应用、时间追踪工具等。在本案例中,源代码是用C语言...
幼儿园一日生活中的随机教育PPT课件
03-17
幼儿园一日生活中的随机教育,幼儿园一日生活中的随机教育课件,幼儿园一日生活中的随机教育PPT
幼儿园一日活动的组织与实施PPT课件
03-10
幼儿园一日活动的组织与实施,幼儿园一日活动的组织与实施课件,幼儿园一日活动的组织与实施PPT
一日志格式代码.zip
10-09
综上所述,"统一日志格式代码"的实现涉及到多个方面,包括格式定义、数据处理、输出策略等,其核心在于提供一种标准化的方式来记录系统活动,以利于后期的分析、监控和维护。通过"first1"文件,我们可以深入理解这一...
What Is My IP Address-crx插件
04-03
语言:English 该扩展名一键获取您当前的IP地址:) 该扩展名一键获取您当前的IP地址:)
AndroidMalware_2020:2020年出现的流行Android恶意软件
03-21
Android恶意软件_2020 2020年流行的Android威胁 一月 静音广告软件75fd1658cd6cb56f9194dbb1aabadd64 80abde70e5f4d4dc7ace31586097e026 1250f1296c0e92112d554960d4f99710 新的Anubis样本d4be1208d35bc8badb0fa97a36a28c8c d936dad9349ebe2daf8f69427f414fdc Coybot巴西银行家058de750a4a2402104e4bd22179f8432050c98ea88b5bfec2f065f6dc2a950f9 bf20ad4fcc9fb6910e481a199bb7da649bcd29dd91846692875a3a2c737b83d9 面包2273af79cae07c3d0d07eb4d3f30d60c 350
技嘉Z370 HD3P + i7-8700K + GTX1080 装黑苹果 High Sierra 10.13.6
热门推荐
辉哈
10-13 5万+
技嘉Z370 HD3P + i7-8700K + GTX1080 装黑苹果 High Sierra 10.13.6前言配置软件驱动刻录镜像设置 BIOS引导出错重新刻录引导安装安装 CloverClover 选择挂载 EFI 分区复制 Clover安装驱动更新后安装驱动驱动独显修复 CPU 识别修复声卡驱动修复 USB3.0蓝牙免驱iMessage、序列号问题更换Clover主题感谢 前言 本博文...
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 4911
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
一些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1099
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
cyberdefenders----恶意软件流量分析 1
qq_45616570的博客
03-30 877
​是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。恶意软件流量分析 1解压密码:cyberdefenders.org通过对给出的流量包进行分析回答下面1-12的相关问题。
半监督学习在恶意软件流量检测中的应用
weixin_70923796的博客
08-17 159
从人工智能的发展角度看,基于端口的方法和基于负载的方法都是基于规则来看的,而基于统计的方法属于机器学习的方法,虽然机器学习的方法解决了很多基于规则的方法的弊端,如分类准确率低等,但这个方法也存在着依赖手工设计特征的方法不能提取关键特征的弊端。因此,在这种情况下,采用迁移学习的方法性能会更差。半监督学习是监督学习和无监督学习的结合,由于监督学习的目标是尽可能保留数据的关键特征,而无监督学习的目标是尽可能保留数据的全部特征以还原数据,二者存在矛盾,因此使用式(3)的半监督方法无法获得良好的性能。...
python实现——流量分析
LainWith的博客
08-23 7489
前言 需要使用Scapy模块来编写流量嗅探工具,用到Scapy中的sniff()函数,该函数中比较重要的参数如下: iface:指定在哪个网络接口上抓包 count:表示要捕获的数据包的数量。默认值是0,表示不限制数量 filter:流量的过滤规则。使用伯格利包过滤的语法 prn:定义回调函数,通常使用lambda表达式来写回调函数。当符合filter的流量被捕获时,就会执行回调函数 关于filter: 表达式常用的有以下三种限定词: Type:类型限定词。例如host、net、port等,如果不指定
如何进行统一日志框架记录,生成代码例子
03-27
一日志框架记录是指在应用程序中使用相同的日志框架,以便更好地管理和维护应用程序的日志记录。常见的日志框架有log4j、logback、slf4j等。 下面是一个使用log4j进行统一日志框架记录的代码示例: 1. 添加log4j依赖 在项目的pom.xml文件中添加log4j依赖: ```xml <dependency> <groupId>log4j</groupId> <artifactId>log4j</artifactId> <version>1.2.17</version> </dependency> ``` 2. 配置log4j 在项目的资源目录下创建log4j.properties文件,配置log4j的相关参数,例如: ```properties log4j.rootLogger=INFO, CONSOLE, FILE log4j.appender.CONSOLE=org.apache.log4j.ConsoleAppender log4j.appender.CONSOLE.Target=System.out log4j.appender.CONSOLE.layout=org.apache.log4j.PatternLayout log4j.appender.CONSOLE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %p %c{1}:%L - %m%n log4j.appender.FILE=org.apache.log4j.RollingFileAppender log4j.appender.FILE.File=./logs/app.log log4j.appender.FILE.MaxFileSize=5MB log4j.appender.FILE.MaxBackupIndex=10 log4j.appender.FILE.layout=org.apache.log4j.PatternLayout log4j.appender.FILE.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %p %c{1}:%L - %m%n ``` 上述配置文件定义了两个appender:CONSOLE和FILE。CONSOLE将日志输出到控制台,FILE将日志输出到文件中。 3. 使用log4j 在应用程序的代码中使用log4j进行日志记录,例如: ```java import org.apache.log4j.Logger; public class MyClass { private static final Logger logger = Logger.getLogger(MyClass.class); public void doSomething() { logger.info("Do something"); logger.debug("Debugging message"); logger.error("Error message"); } } ``` 在上述代码中,使用Logger.getLogger方法获取Logger对象,然后使用Logger对象进行日志记录。在这里,我们使用了info、debug和error三种级别的日志记录。 4. 运行应用程序 运行应用程序后,log4j将根据配置文件,将日志输出到控制台和文件中。在控制台中,会按照时间和级别的顺序输出日志信息,例如: ``` 2022-01-01 12:00:00 INFO MyClass:10 - Do something 2022-01-01 12:00:01 ERROR MyClass:12 - Error message ``` 在文件中,也会按照时间和级别的顺序输出日志信息,例如: ``` 2022-01-01 12:00:00 INFO MyClass:10 - Do something 2022-01-01 12:00:01 ERROR MyClass:12 - Error message ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值