恶意流量分析(三)

本次分析2016-10-15:

在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析:

关于Rig EK的报警,显示一个恶意的重定向指向EK:

其中协议6表示TCP流量,17表示UDP流量。根据上述报警信息中的IP和端口号,在Wieshark中对IP过滤来找到该TCP流:

发现Host:unwrappedphotos.com,右键追踪该流分析:

发生的时间为2016年10月14日22:14:42,发现该网页的HTML是通过gzip压缩方式发送的,所以我们不能正确的从TCP流中分析他,但是可以导出分析:

 Save保存之后将保存的文件上传VT查看,有5家报毒并发现js标签:

 继续分析报警文件,发现一个Cerber勒索软件的报警:

 一个关于勒索软件CnC服务器的报警:

至此可以对受害者主机进行时间描述:在2016年10月14日22:14:42,受害者请求访问unwrappedphotos.com受损网站,受到了来自EK感染的Cerber勒索软件攻击。

  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值