恶意流量分析(三)

已于 2022-12-08 12:15:04 修改
阅读量535 收藏 3
点赞数
分类专栏: 恶意流量分析 文章标签: 网络安全 wireshark
于 2022-12-08 12:12:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487541/article/details/128233917
版权

本次分析2016-10-15:

在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析:

关于Rig EK的报警,显示一个恶意的重定向指向EK:

其中协议6表示TCP流量,17表示UDP流量。根据上述报警信息中的IP和端口号,在Wieshark中对IP过滤来找到该TCP流:

发现Host:unwrappedphotos.com,右键追踪该流分析:

发生的时间为2016年10月14日22:14:42,发现该网页的HTML是通过gzip压缩方式发送的,所以我们不能正确的从TCP流中分析他,但是可以导出分析:

 Save保存之后将保存的文件上传VT查看,有5家报毒并发现js标签:

 继续分析报警文件,发现一个Cerber勒索软件的报警:

 一个关于勒索软件CnC服务器的报警:

至此可以对受害者主机进行时间描述:在2016年10月14日22:14:42,受害者请求访问unwrappedphotos.com受损网站,受到了来自EK感染的Cerber勒索软件攻击。

Sin hx
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
流量分析—ctf
m0_53067332的博客
01-10 8127
题目介绍 该题为流量分析,当黑客入侵我们的网络是,我们可以需要通过一系列分析操作来进行抓捕与追踪,本题目难度中等偏下,不是很有难度,但题目类型较为全面,适合入手当做练习。 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某
cyberdefenders—-恶意软件流量分析 2
qq_45616570的博客
03-30 690
CyberDefenders](https://cyberdefenders.org/) 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。恶意软件流量分析通过题目给出的流量包进行分析并回答下面1-17的问题。
恶意流量分析(一)
weixin_41487541的博客
11-26 2409
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
日志分析系统分类有哪些_恶意流量分析训练
weixin_40001275的博客
12-05 219
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。试根据给出的数据包等文件,分析解答如下问题Q1:用户的姓名?Q2:用户windows机器的主机名?Q3:用户windows主机的ip地址?Q4:用户电脑的mac地址?Q5...
合天恶意流量分析
GrapeSour的博客
07-13 607
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
恶意流量分析训练九
Yale的博客
02-05 1417
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。 这次实验给出了一个数据包。 我们直接打开 可以看到有nbns的流量 自然就先过滤出nbns的流量来得到host name等信息 通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN...
一道冰蝎文件流量分析的例题
09-01
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析网络安全...
恶意流量分析数据data.csv
最新发布
06-15
恶意流量分析数据集,适合做网安专业毕设
python实现基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
01-12
python实现基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip背景介绍 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,例如...
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
01-12
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip亮点:国内为数不多的开源的基于机器学习方法的加密恶意流量分析与检测平台;多种协议模板(TCP UDP IP EHER PORT WARN),能够抓取数据更多类型更加丰富的...
基于机器学习的加密恶意流量分析与检测平台源码文档说明
04-10
软件名称:基于机器学习的加密恶意流量分析与检测平台 背景介绍 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,例如特洛伊木马、勒索...
恶意流量分析训练十
Yale的博客
02-05 854
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
深度学习之Keras检测恶意流量
weixin_43857242的博客
01-19 2641
Keras介绍 Keras是由 Python 编写的神经网络库,专注于深度学习,运行在 TensorFlow 或 Theano 之上。TensorFlow和Theano是当前比较流行的两大深度学习库,但是对初学者来说相对有些复杂。Keras 使用简单,结构清晰,底层计算平台可基于 TensorFlow 或 Theano 之上,功能强大。Keras 可运行于 Python 2.7 或 3.5 环境,...
斗象智能安全 x F5联合推出「攻防演练实战解决方案 」
TOPHANT的博客
08-11 1071
2016年《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演作为国家层面促进各个行业重要信息系统、关键基信息基础设施的网络安全防护、应急响应水平的重要工作,以实战、对抗、迭代等方式促进网络安全保障能力提升,具有非常重要的意义。 随着大规模攻防演练行动的开展,如何有效地应对演练,提升威胁检测和响应能力,成为大量企业用户的关注重点。 在攻防演练行动中,基于网络流量分析的技术在安全检测与分析过程中起到越来越重要的作用,网
合天恶意流量分析
GrapeSour的博客
07-08 157
统计->ipv4 statics->all address,如图所示 发现通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136 NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名 所以选中一条nbns的数据 这个为mac地址和主机名 查询用户名的话,查http的请求
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 4936
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
恶意流量分析基础学习
weixin_33826268的博客
11-14 985
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量分析训练二
Yale的博客
02-04 1993
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup.com 域控:172.16.3.2-EggNogSoup-DC 网关:172.16.3.1 广播地址:172.16....
流量分析与日志溯源的个人理解
Azjj
12-09 3965
下面是我结合网上论坛以及个人的一些想法针对日志分析溯源的个人理解 现阶段大部分企业都会上日志审计设备,在配上流量分光,还有各类IDS、WAF等设备日志,对安全溯源分析十分方便,但在日常工作中,免不了要直接看服务器相关请求日志的情况,这个时候就需要我们自身具备日志分析的能力了。 一、日志分析流程 1、统计 首先需要对数据进行处理,如请求IP统计,访问地址统计,HTTP状态码统计等,这些数据统计可以使用excel或者python脚本,如果手头有各类工具那就更容易统计了。2、威胁发现 关键字过...
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值