cyberdefenders----恶意软件流量分析 1

最新推荐文章于 2024-05-07 15:09:26 发布
最新推荐文章于 2024-05-07 15:09:26 发布
阅读量866 收藏 1
点赞数
分类专栏: cyberdefenders笔记合集 取证 文章标签: 蓝队 应急响应 恶意流量取证 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45616570/article/details/129867003
版权

cyberdefenders----恶意软件流量分析 1

防守更聪明,而不是更难

0x01 前言

CyberDefenders 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。

0x02 题目简介

题目链接:恶意软件流量分析 1

解压密码:cyberdefenders.org

通过对给出的流量包进行分析回答下面1-12的相关问题

0x03 解题过程

0x03_1 被感染的 Windows 虚拟机的 IP 地址是什么?

解题

方法一:使用wireshark分析

因为题目问的是被感染的Windows 虚拟机的IP地址,所以使用wireshark将流量包打开,检索dhcp流。

方法二:使用可视化流量分析网站对流量包进行分析

1.打开流量包分析网站将流量包载入

image-20230329170046828

2.查看network选项,发现仅有一个172开头的ip,其他都是来自外部网站的或者DNS服务器、广播地址的ip,所以172.16.165.165为虚拟机的ip

image-20230329172143483

答案

​ 被感染的Windows 虚拟机的IP地址为:172.16.165.165

0x03_2 被感染的 Windows VM 的主机名是什么?

解题
	通过点击wireshark过滤的信息后,我们下拉可以发现host name 的字段

image-20230329173043251

答案

​ 被感染的 Windows VM 的主机名是:K34EN6W3N-PC

0x03_3 受感染虚拟机的 MAC 地址是什么?

解题

​ 同上题,172.16.165.165为source ip ,我们点击进入wireshark过滤后的信息,发现Client MAC address的字段

image-20230329173615450

答案

​ 受感染虚拟机的 MAC 地址是:f0:19:af:02:9b:f1

0x03_4 受感染网站的 IP 地址是什么?

解题

1.追踪http流,检查包发现第二个GET 请求包,查看内容发现这个包中进行了重定向操作,重定向到24cXXXXXXXXX这个网站,所以受感染的是这个网站。

image-20230329204412916

查看内容,发现重定向内容

image-20230329204459647

这个受感染网站为www.cinhlxxaaasand.nl

image-20230329204554813

IP地址为82.150.140.30

image-20230329204830626

答案

​ 受感染网站IP地址为82.150.140.30

0x03_5 受感染网站的 FQDN 是什么?

解题

​ 由上题可知受感染网站的 FQDN为:www.cixxchlxxxnd.nl

答案

​ 受感染网站的 FQDN为:www.cinxxhxxxxnd.nl(进行了打码)

0x03_6 传送漏洞利用工具包和恶意软件的服务器的 IP 地址是什么?

解题

1.使用brim搭配zui进行分析,输入命令以下命令过滤利用(exploit)事件,得到利用漏洞的服务器的ip

exploit | fuse

image-20230329205429610

答案

​ 传送漏洞利用工具包和恶意软件的服务器的 IP 地址是:37.200.69.143

0x03_7 传送漏洞利用工具包和恶意软件的 FQDN 是什么?

解题

1.使用在线流量包分析网站查看传送漏洞利用工具包和恶意软件的IP为37.200.69.143所对应的FQDN image-20230329205931351

答案

​ 传送漏洞利用工具包和恶意软件的 FQDN是:stand.trustandshsojjdnkmlobaterealty.com

0x03_8 指向漏洞利用工具包 (EK) 登录页面的重定向 URL 是什么?

解题

​ 从题目四在分析受感染的网站时,我们发现了重定向的网站为:http://24xxnwmsnn.com

答案

​ 指向漏洞利用工具包 (EK) 登录页面的重定向 URL 是:http://24xxnwmsnn.com

0x03_9 除了 CVE-2013-2551 IE exploit 之外,EK 还针对另一个以“J”开头的应用程序。提供完整的应用程序名称。

解题

1.打开brim和zui输入exploit查看alert属性发现J开头的应用程序为Java

image-20230329212012457

答案

​ EK 还针对另一个以“J”开头的应用程序,完整的应用程序名称为:Java

0x03_10 有效载荷交付了多少次?

解题

1.使用vt发现检测到三个威胁的木马程序,所以进行了3次有效载荷交付

答案

​ 有效载荷交付了3

0x03_11 受感染的网站有一个带有 URL 的恶意脚本。这个网址是什么?

解题

1.从题目四在分析受感染的网站时,带有 URL 的恶意脚本的网站为:http://24xxnwmsnn.com

2.使用VT对这个网站进行检测,发现很多威胁,说明推测是正确的

image-20230329213215007

答案

​ 带有 URL 的恶意脚本的网站为:http://24xxnwmsnn.com

0x03_12 提取两个漏洞利用文件的 MD5 文件哈希值?(逗号分隔)

解题

1.使用brim输入以下命令

_path=="files" source=="HTTP" 37.200.69.143 in tx_hosts | cut tx_hosts, rx_hosts, md5, mime_type

image-20230329215623640

2.看到application/java-archive为java漏洞以及application/x-shockwave-flash为flash漏洞利用文件,所以证明是漏洞利用文件

答案

​ 提取两个漏洞利用文件的 MD5 文件哈希值为:1e34fdebbf655cebea78b45e43520ddf,7b3baa7d6bb3720f369219789e38d6ab

r1ng_13
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cyberdefenders—-恶意软件流量分析 2
qq_45616570的博客
03-30 663
CyberDefenders](https://cyberdefenders.org/) 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。恶意软件流量分析通过题目给出的流量包进行分析并回答下面1-17的问题。
恶意软件流量检测系统
weixin_33712987的博客
01-12 897
maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。https://github.com/stamparm/maltrail 转载于:https://blog.51cto.com/0x007/17343...
毕设成品 基于机器学习的恶意流量识别检测
最新发布
rjqqew的博客
05-07 572
今天学长向大家介绍一个关于网络安全相关的毕设项目基于机器学习的恶意流量识别检测🧿选题指导, 项目分享:见文末目前使用加密通信的恶意软件家族超过200种,使用加密通信的恶意软件占比超过40%,使用加密通信的恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。HTTPS协议也称为SSL上的HTTP安全或超文本传输协议,是以安全为目标的 HTTP 通道,通过传输加密和身份认证保证了传输过程的安全性。
android恶意软件流量,基于流量分析的安卓恶意软件检测
weixin_39801465的博客
05-30 289
摘要:随着智能手机行业的发展,人们在日常的工作学习生活中越来越离不开智能手机.Android系统作为流行度最高的智能手机系统之一,其安全性正受到越来越多恶意攻击者和安全研究者的关注.根据Zhou,Sarma和Yerima等人各自的研究,超过93%的Android恶意软件需要访问网络才能完成攻击,使用网络流量特征检测Android恶意软件具有可行性.近年来,该领域已有了较多研究,本文中分析了现有方案...
cyberdefenders------------Insider
qq_45616570的博客
04-13 583
​是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。Karen进入“TAAUSAI”工作后,开始在公司内部进行一些不法活动。“TAAUSAI”聘请你开始调查此案。您获取了一个磁盘映像,发现 Karen 在她的机器上使用 Linux 操作系统。分析 Karen 计算机的磁盘映像并回答提供的问题。​。
恶意流量分析(一)
weixin_41487541的博客
11-26 2319
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
Cyberdefenders刷题专用blog
Rick66Ashley的博客
01-31 555
然后把fifo的内容输入shell执行,执行结果发给117.11.88.124,然后这个IP的输入再重定向到管道文件,这样就是一个循环。从该IP发送命令到管道文件,再在shell执行,执行后结果返回到IP,实现了这个IP和服务器的交互,也就实现了远程控制。在http的流量里面翻一下,找到了webshell所在的位置。就是说,公司在服务器上发现了异常文件,怀疑是个webshell,你需要分析这个webshell。唯一要注意的题目问的是成功上传的,前面有个上传失败的image.php不用管。
wireshark流量分析挑战一
Ewige的博客
04-11 5710
wireshark 流量分析实战一 分析详情:附加的 PCAP 属于开发工具包感染。使用您喜欢的工具对其进行分析并回答挑战问题 文章目录wireshark 流量分析实战一需要准备的一、被感染的 Windows VM 的 IP 地址是什么?二、被感染的 Windows VM 的主机名是什么?三、受感染网站的 IP 地址是什么?四、提供漏洞利用工具包和恶意软件的服务器的 IP 地址是多少?五、漏洞利用工具包(EK)利用的漏洞CVE编号6、 漏洞利用文件的MD5 文件哈希是什么?总结 需要准备的 工具
CTF——杂项3.流量取证技术
woo233的博客
09-09 2728
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
国内外优秀网安练习平台
Ms08067安全实验室
12-06 786
0x01 前言小编总结网上一些靶场类型,并进行了分类,整理不足可以及时给小编留言!0x02基础类靶场1. DVWA:http://www.dvwa.co.u2.BWVS:https://github.com/bugku/BWVS3.Webug3.0:https://pan.baidu.com/s/1cM39UrKeWjS92-3am8L_bg?pwd=xjqr4. BWAPP:https://...
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 4851
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
一些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1078
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
恶意流量分析训练三
Yale的博客
02-05 2032
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
半监督学习在恶意软件流量检测中的应用
weixin_70923796的博客
08-17 158
从人工智能的发展角度看,基于端口的方法和基于负载的方法都是基于规则来看的,而基于统计的方法属于机器学习的方法,虽然机器学习的方法解决了很多基于规则的方法的弊端,如分类准确率低等,但这个方法也存在着依赖手工设计特征的方法不能提取关键特征的弊端。因此,在这种情况下,采用迁移学习的方法性能会更差。半监督学习是监督学习和无监督学习的结合,由于监督学习的目标是尽可能保留数据的关键特征,而无监督学习的目标是尽可能保留数据的全部特征以还原数据,二者存在矛盾,因此使用式(3)的半监督方法无法获得良好的性能。...
网络空间安全 恶意流量恶意代码 结合Wireshark初步分析(二)
Ax的博客
09-16 1518
网络空间安全 恶意流量恶意代码 学习入门(二)
在线解密解码工具
热门推荐
eWFuZw==的博客
05-09 3万+
ASCII网页转换工具 MD5 MD5在线解密1 md5在线解密2 站长工具 Unicode编码转换-站长工具 DES加解密-站长工具 base64加解密-站长工具 base64转图片-站长工具 文本在线加解密 栅栏在线加解密 凯撒在线加解密1 凯撒在线加解密2 Fair-Play在线加解密 rabbit在线加解密 DES在线加解密 维吉尼亚在线加解密1 维吉利亚在线加解密2 Brainfuck和...
0507一日一恶意代码流量分析
m0_37442062的博客
05-09 589
题目下载 1.分析: 对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。 2.使用filter...
抓取流量分析恶意软件或泄密流量(精)
墨痕诉清风的博客
12-09 1214
1. 打开Wireshark 2. 设置抓包大小(IP可选) 3. 应用omnipeek进行专家分析 4. 过滤IP流量包,通过shell脚本 #!/bin/bash mkdir X mkdir H A=`ls -l | grep -v ^d | grep -v sl.sh | awk '{print $9}'` for B in $A do tcpdunp -n -r $B...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8296
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值