问题:
- 摘要
- 受害者详细信息
- 入侵指标 (IoC)
刚进入打开pcap包 先做第二个受害者详细信息
惯例搜索 http.request or tls.handshake.type eq 1
如图 受害者ip和mac地址
然后查找受害主机信息 筛选框nbns or smb or smb2
Kerberos身份验证流量在用户登录时生成 那我们直接筛选kerberbos
好像有点多 那我们接着筛选 Cnamestring
到这四个需要的已经找出来了
IP 地址:10.0.0.149
MAC地址:00:21:5d:9e:42:fb
主机名: DESKTOP-E7FHJS4
Windows 用户帐户:damon.bauer
接下来我们从url中去寻找可疑的报文 查找http的请求 筛选框中选择http.request
发现通过ip访问 很可疑 追踪一下
这里告诉我们这个程序不能在DOS模式下运行
我们直接将其导出 然后将.dat 后面没有头绪了 看了一下wp 要看文件的sha256哈希值
certutil -hashfile 文件名 SHA256
在virustotal上搜索
被标记为Qakbot恶意文件
摘要:
在 2023-02-03 17:04 UTC,Damon Bauer 使用的 Windows 计算机感染了Qakbot恶意软件。
恶意网络流量
端口 80 - hxxp://128.254.207.55/86607.dat
恶意软件:
SHA256哈希值:713207d9d9875ec88d2f3a53377bf8c2d620147a4199eb183c13a7e957056432
文件的位置:hxxp://128.254.207[.]55/86607.dat