恶意流量分析(三)

已于 2022-12-08 12:15:04 修改
阅读量535 收藏 3
点赞数
分类专栏: 恶意流量分析 文章标签: 网络安全 wireshark
于 2022-12-08 12:12:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41487541/article/details/128233917
版权

本次分析2016-10-15:

在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析:

关于Rig EK的报警,显示一个恶意的重定向指向EK:

其中协议6表示TCP流量,17表示UDP流量。根据上述报警信息中的IP和端口号,在Wieshark中对IP过滤来找到该TCP流:

发现Host:unwrappedphotos.com,右键追踪该流分析:

发生的时间为2016年10月14日22:14:42,发现该网页的HTML是通过gzip压缩方式发送的,所以我们不能正确的从TCP流中分析他,但是可以导出分析:

 Save保存之后将保存的文件上传VT查看,有5家报毒并发现js标签:

 继续分析报警文件,发现一个Cerber勒索软件的报警:

 一个关于勒索软件CnC服务器的报警:

至此可以对受害者主机进行时间描述:在2016年10月14日22:14:42,受害者请求访问unwrappedphotos.com受损网站,受到了来自EK感染的Cerber勒索软件攻击。

Sin hx
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cyberdefenders—-恶意软件流量分析 2
qq_45616570的博客
03-30 692
CyberDefenders](https://cyberdefenders.org/) 是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。恶意软件流量分析通过题目给出的流量包进行分析并回答下面1-17的问题。
恶意流量分析训练
Yale的博客
02-05 2068
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析(一)
weixin_41487541的博客
11-26 2415
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
恶意流量分析训练一
Yale的博客
02-04 5746
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练五
Yale的博客
02-05 2492
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析训练四
Yale的博客
02-05 2172
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
恶意流量分析训练六
Yale的博客
02-05 1461
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析训练二
Yale的博客
02-04 1993
通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup.com 域控:172.16.3.2-EggNogSoup-DC 网关:172.16.3.1 广播地址:172.16....
一道冰蝎文件流量分析的例题
09-01
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,冰蝎经常被用于流量分析、数据包嗅探和网络取证。本题目的核心是利用冰蝎进行文件流量分析。 首先,我们要理解什么是文件流量分析。文件流量分析网络安全...
恶意流量分析数据data.csv
06-15
恶意流量分析数据集,适合做网安专业毕设
python实现基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
01-12
python实现基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip背景介绍 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,例如...
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
01-12
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip亮点:国内为数不多的开源的基于机器学习方法的加密恶意流量分析与检测平台;多种协议模板(TCP UDP IP EHER PORT WARN),能够抓取数据更多类型更加丰富的...
基于机器学习的加密恶意流量分析与检测平台源码文档说明
04-10
软件名称:基于机器学习的加密恶意流量分析与检测平台 背景介绍 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,例如特洛伊木马、勒索...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
802.11 wireshark 抓包
又见南风的博客
07-24 1272
本人习惯使用 Omnipeek 抓包分析,所以 wireshark 的实验只讲到抓包完成。Windows 环境采用 wireshark 抓包是比较麻烦的,因为支持在 Windows 环境中支持抓包的网卡并不多,所以本次直接用 Linux 环境来做试验。使用网卡为:RT3070L,70块钱一张的网卡。
WireShark 更改界面主题
xchenhao 的博客
07-25 201
WireShark 界面更改为白色主题
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值