Wireshark教程:检查Trickbot感染

最新推荐文章于 2024-06-04 14:34:05 发布
最新推荐文章于 2024-06-04 14:34:05 发布
阅读量1.8k 收藏
点赞数
文章标签: wireshark 网络 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nuan444979/article/details/127067476
版权

目录

描述

来自垃圾邮件的Trickbot感染

通过其他恶意软件感染的Trickbot

描述

当主机受到感染或受到其他类型的危害时,对于能够捕获网络流量中的数据包(pcap)的安全人员来说需要了解活动并识别感染类型。

本教程提供了有关如何识别Trickbot感染的提示,Trickbot是一种自2016年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbop通过恶意垃圾邮件(malspam)分发,也通过其他恶意软件分发,如Emotet、IcedID或Ursnif。

Trickbot具有不同的流量感染模式。本教程回顾了由两种不同方法引起的 Trickbot 感染的 pcap: 来自恶意垃圾邮件的Trickbot感染和通过其他恶意软件传播的Trickbot感染。

注意:本次教程会用到Wireshark列显示过滤器,如果不太熟悉要查看前几篇教程进行辅助。而且本次教程需要在离线环境中操作 ,不能再本机操作。

来自垃圾邮件的Trickbot感染

Trickbot通常以垃圾邮件的方式发送。这些电子邮件中包含伪装成发票或文档的恶意文件下载链接。这些文件可能是Trickbot在Windows主机感染的可执行文件,也可能是Trickbot可执行文件的一种下载程序。在某些情况下,这些电子邮件中的链接会返回包含Trickbot可执行文件或下载程序的zip存档。

下图显示了2019年9月的一个示例。在这个示例中,电子邮件包含一个返回zip存档的链接。zip存档包含下载了Trickbot可执行文件的Windows快捷方式文件。

下面这个pcap中包含受感染的Trickbot恶意流量,并在Wireshark中打开它。使用基本过滤器查看基于web的感染流量。

查看流量,你会发现以下活动在最近的Trickbot感染中很常见:

  • 受感染的Windows主机进行IP地址检查
  • TCP端口447和449上的HTTPS/SSL/TLS流量
  • TCP端口8082上的HTTP流量
  • 以.png结尾并返回Windows可执行文件的HTTP请求

此Trickbot感染的独特之处在于向www.dchristjan[.]com发送的HTTP请求返回了zip存档,向144.91.69[.]195发送的HTTP请求返回了Windows可执行文件。可以查看向www.dchristjan[.]com请求的HTTP流,如下图所示选择追踪流-http流来查看流量。在HTTP流中,您将发现返回了zip存档的指示符,如URL和内容类型。

我们还可以看到zip存档中包含的文件为InvoiceAndStatement的快捷方式。您可以使用Wireshark从HTTP流量中导出zip存档,选择文件-导出对象-HTTP,然后在HTTP对象列表中选择这个zip文件进行保存,

最低0.47元/天 解锁文章
暖、风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网银木马TrickBot的分析调试笔记
JiangBuLiu的博客
12-01 952
Trickbot描述 Trickbot是2016年出现的一种网银木马,它以大银行的客户为目标,窃取他们的信息。自出现以来,新的变体不断出现,每次都有新的技巧和模块更新。 Trickbot是一种模块化恶意软件,包括针对其恶意活动的不同模块。主要功能包括从浏览器中窃取数据、从Microsoft Outlook窃取数据、锁定受害者的计算机、系统信息收集、网络信息收集和域凭据窃取等模块等. 由于此家族出现至今已四年,公开的报告众多,此处不多描述初始载荷,以调试分析Trickbot功能载荷(本次分析的是1000511
Wireshark教程:从Pcap中导出对象
nuan444979的博客
09-26 7101
Wireshark教程:导出流量对象
Wireshark流量分析还原zip文件
ak.Gh0st的博客
12-28 3947
将保存类型设置为All Files,将文件名设置为压缩文件,保存即可。以下为该压缩包的请求包和响应包内容,我们需要的是响应包中的响应体。选中该http请求后,选择Media Type,右键选择。通过提示下载流量包,导入到wireshark开始分析。此处发现访问了可疑的压缩包文件。以下内容为数据取证靶场题目。即可将响应体内容导出。解压该文件得到key值。
【电子取证】Wireshark教程:从流量包中导出文件
最新发布
longxintec的博客
06-04 1421
在某些情况下,消息是使用未加密的SMTP发送的,我们可以从感染主机的流量中导出这些邮件消息。使用wireshark打开例1.pacp文件,使用http.request过滤流量包,找到两个GET请求,第一个请求以doc文件结束,第二个请求以exe文件结束。在进行网络流量分析中,往往需要从获取到的流量包中导出文件,进行更仔细的检查。使用wireshark打开例3.pacp文件,点击文件—导出对象—SMB,就可以导出SMB流量中的文件。保存后的eml文件,可以使用邮件客户端进行查看,或者使用文本编辑器进行查看。
WireShark数据对象导出分析方法
Fly_鹏程万里
10-20 4265
网络安全是当今互联网时代中不可忽视的问题,随着网络技术的不断发展,网络攻击手段也变得越来越复杂和隐蔽,因此网络安全工作者需要具备一定的技术能力和工具使用能力,其中WireShark是一款广泛使用的网络协议分析工具,可以帮助用户深入了解网络数据包的传输过程,从而提高网络安全防护的能力。本文将介绍WireShark的对象导出功能,帮助读者更好地利用这一功能进行网络数据包分析和安全防护工作。
WireShark使用教程.pdf
06-27
Wireshark是一款强大的网络封包分析工具,常用于网络故障排查、网络安全分析和协议学习。它能够捕获网络上的数据包,并详细展示每个数据包的头部信息和载荷内容,帮助用户理解网络通信过程。 首先,Wireshark的启动...
Wireshark 101: Essential Skills for Network Analysis 2nd
12-28
看着应该是真正truepdf,不像转换的,非常清晰,大家需要的下载吧
wireshark案例:wireshark 源码 供参考
05-28
Wireshark是一款强大的网络协议分析器,被广泛用于网络故障排查、网络安全分析和软件开发等领域。这个案例提供了Wireshark的源代码,对于理解其工作原理、学习网络协议解析和进行二次开发非常有帮助。 首先,...
wireshark使用详细教程.pdf
03-28
Wireshark是一款强大的网络封包分析工具,能够捕获网络数据包并对其进行详细的分析。它支持多种网络协议,如TCP/IP、HTTP、DNS等,通过解析这些协议,Wireshark能够将数据以易于理解的形式展示给用户,从而帮助用户...
计算机网络原理实验报告---Wireshark实验:HTTP协议分析
01-20
本次实验是关于计算机网络原理的Wireshark工具使用,主要目标是对HTTP协议进行深入分析。实验过程中,我们使用Wireshark对电脑的WLAN端口进行抓包,观察并解析访问www.baidu.com网站时的网络通信过程。通过对HTTP...
wireshark压缩包下载包
06-21
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。
wireshark压缩包
11-26
压缩包
Wireshark数据流文件提取
weixin_43727482的博客
03-10 9242
ctf-misc的一道题目,数据包文件当中需要提取一个压缩包文件,使用binwalk指令提取后无法正常解压,手动提取总是错误,上网查阅总结几种提取方式。 第一种,使用wireshark自带的导出(不容易出错) 找到需要导出的数据流位置 右键导出,导出后保存即可 第二种,binwalk导出(容易出错,可能无法正常打开) binwalk -e 文件名 ...
Wireshark 基础-thm
weixin_45626840的博客
04-21 1601
thm的Wireshark介绍
中职组“网络安全”数据包分析
wanjia01的博客
04-04 1536
这里我就拿几个数据包进行分析。(具体数据包可私信获取。) 任务三:数据分析-A 任务环境说明:  渗透机场景:windows 7  渗透机用户名:administrator,密码:123456 通过分析windows 7桌面上的数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为FLAG提交; 通过分析数据包A.pcapng,找到黑客扫描的网段范围是多少(IP之间用”,”隔开,例:192.168.1.1-192.168.1.2)将该范围作为FLAG提交; 通过分析数据包A.pc
wireshark 使用-pcap导出指定数据
changyus的专栏
01-25 4865
wireshark 使用-pcap导出指定数据
Wireshark抓取的数据包文件提取
热门推荐
xiaopan233的博客
05-02 4万+
(第一种方法 直接使用wireshark自带的导出) 分离图片文件) wireshark在指定的数据流中提取文件很简单。先选中要提取文件的数据包。wrieshark都会标明文件的类型。所以我们也就能够区分出这是一个什么类型的文件。 选中图片的数据一大行 右键,导出数据包 给导出的文件起个名字。然后保存即可。 成功从wrieshark中分离出了图片 分离...
wireshark:文件输入、输出和打印
OceanStar的博客
11-29 3879
引言 wireshark针对捕获到的数据,可以: 以各种捕获文件格式打开捕获文件 以各种格式保存和导出捕获文件 将捕获文件合并到一起 导入包含十六进制数据报转储的文本文件 打印数据包 打开捕获文件 wireshark可以读取以前保存的文件。方法有二: 菜单栏的“文件->Open”或者工具栏 在文件管理器中拖动文件并将其放到Wireshark的主窗口中,就可以打开该文件。 “打开捕获文件”对话框 作用: 打开要查看的捕获文件 “打开捕获文件”对话框允许您搜索以前捕获的数据包的捕获文件,以便在w
Wireshark教程:数据包分析与协议详解
教程的主要目标是让学生学会如何: 1. 理解数据包分析的重要性:通过Wireshark,可以深入理解网络通信的底层工作原理,包括链路层、网络层和运输层的数据包结构。 2. 掌握Wireshark的使用:重点在于掌握这个工具...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值