本次分析2016-10-15:
在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析:
关于Rig EK的报警,显示一个恶意的重定向指向EK:
其中协议6表示TCP流量,17表示UDP流量。根据上述报警信息中的IP和端口号,在Wieshark中对IP过滤来找到该TCP流:
发现Host:unwrappedphotos.com,右键追踪该流分析:
发生的时间为2016年10月14日22:14:42,发现该网页的HTML是通过gzip压缩方式发送的,所以我们不能正确的从TCP流中分析他,但是可以导出分析:
Save保存之后将保存的文件上传VT查看,有5家报毒并发现js标签:
继续分析报警文件,发现一个Cerber勒索软件的报警:
一个关于勒索软件CnC服务器的报警:
至此可以对受害者主机进行时间描述:在2016年10月14日22:14:42,受害者请求访问unwrappedphotos.com受损网站,受到了来自EK感染的Cerber勒索软件攻击。