一些恶意样本的流量分析学习

最新推荐文章于 2024-05-07 15:09:26 发布
最新推荐文章于 2024-05-07 15:09:26 发布
阅读量1.1k 收藏 13
点赞数 18
分类专栏: 流量分析 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45880501/article/details/136989631
版权
本文分析了Trickbot,一种自2016年起活跃的信息窃取者和银行恶意软件,主要通过恶意邮件分发。文章详细描述了Trickbot的感染途径,包括通过基本过滤器、恶意邮件链和与其他恶意软件如Emotet的关联。还探讨了Trickbot的加密通信、IP地址检查行为以及它如何利用漏洞如EternalBlue进行感染。
摘要由CSDN通过智能技术生成

Trickbot

Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。

分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。

来自恶意垃圾邮件的 Trickbot 感染

使用basic过滤器过滤,提取对象zip,解压,看到 zip 存档中包含的文件名称 InvoiceAndStatement.lnk
在这里插入图片描述

  • 通过 TCP 端口 447 和 449 的 HTTPS/SSL/TLS 流量
  • 通过 TCP 端口 8082 的 HTTP 流量
  • 以 .png 结尾的 HTTP 请求返回 Windows 可执行文件

对144.91.69.195的http请求 返回一个pe文件,这是Trickbot的初始Windows可执行文件。

在这里插入图片描述
之后尝试了几次 通过443端口的TCP 连接到不同的 IP 地址。

通过 TCP 端口 447 和 TCP 端口 449 发往各种 IP 地址的 HTTPS/SSL/TLS 流量具有异常的证书数据可以通过过滤ssl.handshake.type == 2 来查看证书颁发者。然后转到帧详细信息部分并展开信息,以下证书颁发者数据用于 HTTPS/SSL/TLS 流量到 187.58.56.26。通过 TCP 端口 449实现 :
在这里插入图片描述

  • id-at-countryName=AU
  • id-at-stateOrProvinceName=Some-State
  • id-at-organizationName=Internet Widgits Pty Ltd

Some-State和Internet Widgits Pty Ltd不用于合法的HTTPS/SSL/TLS流量,这种类型的异常证书颁发者数据不仅限于 Trickbot。

通过tpc端口443到 Microsoft 域72.21.81.200的早期流量查看正常的数据颁发者在合法的HTTPS/SSL/TLS 流量中什么样。
在这里插入图片描述
受Trickbot感染的Windows主机将使用许多不同的IP地址检查站点检查其IP地址。这些网站不是恶意的,流量本质上也不是恶意的。但是,这种类型的 IP 地址检查在 Trickbot 和其他恶意软件系列中很常见。Trickbot使用的各种合法IP地址检查服务包括:

同样,IP 地址检查本身不是恶意的。但是,这种类型的活动与其他网络流量相结合可以提供感染的指标,就像我们在这种情况下看到的那样。

受感染的 Windows 主机在通过 TCP 端口 449 的 HTTPS/SSL/TLS 流量之后立即检查 IP 地址。本质上不是恶意的,但这是Trickbot感染的一部分。
在这里插入图片描述
由 Trickbot 引起的通过 TCP 端口 8082 的 HTTP 流量,此流量从受感染的主机发送信息,例如来自浏览器缓存和电子邮件客户端的系统信息和密码。此信息从受感染的主机发送到 Trickbot 使用的命令和控制服务器。http.request and tcp.port eq 8082过滤

在这里插入图片描述
以81结尾的HTTP POST 请求发送 Web 浏览器、电子邮件客户端和其他应用程序缓存的密码数据
在这里插入图片描述
以90结尾的HTTP POST 请求发送系统信息
在这里插入图片描述
http.request and ip contains .png 过滤
在这里插入图片描述
在这里插入图片描述
Trickbot通过以.png结尾的HTTP GET请求传输给受害者Windows可执行文件,当受感染的 Windows 主机是 Active Directory 环境中的客户端时,这些后续 Trickbot 可执行文件用于感染易受攻击的域控制器 (DC)

通过其他恶意软件分发的 Trickbot 感染

Trickbot经常通过其他恶意软件进行分发。Trickbot通常被视为Emotet感染的后续恶意软件,但我们也将其视为来自IcedID和Ursnif感染的后续恶意软件

分析Emotet分发的Trickbot流量:

经验丰富的分析师通常可以识别 Emotet 生成的流量和 Trickbot 生成的流量。感染后 Emotet后 活动包括 HTTP 流量和服务器返回的编码数据。这与感染后的Trickbot活动明显不同,后者通常依赖于HTTP / SSL / TLS流量进行命令和控制通信。在这里插入图片描述
此感染发生在 Active Directory 环境中,其中 10.9.25.102 作为受感染的 Windows 客户端,10.9.25.9 作为 DC。在流量的后期,我们看到 DC 表现出 Trickbot 感染的迹象在这里插入图片描述
Trickbot使用EternalBlue漏洞的一个版本,使用微软的SMB协议横向移动。在这种情况下,受感染的 Windows 客户端通过 TCP 端口 445 多次向 10.9.25.9 的 DC 发送信息。对185.98.87.185 HTTP GET 请求/wredneg2.png 在这里插入图片描述
遵循其中一个 TCP 流,这是客户端发送到 DC 的非常不寻常的流量,因此可能与 EternalBlue 漏洞有关。在这里插入图片描述
除了这种不寻常的 SMB 流量和 DC 被感染之外,此 pcap 中的任何特定于 Trickbot 的活动都与之前的示例非常相似。

Ursnif

Ursnif是银行恶意软件,有时被称为Gozi或IFSB。Ursnif 系列恶意软件已经活跃多年,当前样本生成不同的流量模式。

ursnif 可以通过基于 Web 的感染链和恶意垃圾邮件(恶意垃圾邮件)进行分发。在某些情况下,Ursnif是由Hancitor等不同恶意软件家族引起的后续感染

没有 HTTPS 感染后流量的 Ursnif

  • 初始 GET 请求的域:w8.wensa[.]at
  • 要求提供后续数据:hxxp://api2.casys[.]at/jvasset/xI/t64.dat
  • UrsnifGET和POST请求的域:h1.wensa[.]at
    在这里插入图片描述

具有 HTTPS 感染后流量的 Ursnif

向ghinatronx,com 发起http get请求,
此 TCP 流显示一个 Windows 可执行文件
在这里插入图片描述

Emotet

Emotet是一种信息窃取者,于2014年首次报告为银行恶意软件。此后,它发展了其他功能,例如滴管,分发其他恶意软件系列,如Gootkit,IcedID,Qakbot和Trickbot

Emotet通常通过恶意垃圾邮件(恶意垃圾邮件)电子邮件进行分发。Emotet感染链中的关键步骤是一个Microsoft Word文档,其中包含旨在感染易受攻击的Windows主机的宏。

word宏阶段产生的流量分析:

前五个http get请求用于检索初始emotet dll 的五个url
在这里插入图片描述
跟踪每个请求的 TCP 流,以查看对每个 HTTP GET 请求的回复。
过滤器 增加http响应

(http.request or http.response or ssl.handshake.type == 1) and !(udp.port eq 1900)
对seo.udaipurkart[.]com的http get请求 返回dll文件,filename=“nDurg8uFD5hl.dll”。
在这里插入图片描述
Emotet C2 流量是使用 HTTP POST 请求发送的编码数据,以下过滤器在Wireshark中找到这些请求:
http.request.method eq POST

  • 5.2.136[.]90 通过 TCP 端口 80
  • 167.71.4[.]0 通过 TCP 端口 8080
    在 POST 请求中发送的一些数据被编码为 base64 字符串,并带有一些 URL 编码。

在这里插入图片描述
通过 TCP 端口 443重复连接46.101.230[.]194 ,此 IP 地址已用于 Emotet C2 活动。pcap 中的剩余流量是由 Microsoft Windows 10 主机生成的系统流量。

与 SMTP 关联的 TCP 端口(如 TCP 端口 25、465 和 587)

Orcinus p
关注
  • 18
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意流量分析(一)
weixin_41487541的博客
11-26 2415
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
合天恶意流量分析
GrapeSour的博客
07-13 608
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
毕设成品 基于机器学习恶意流量识别检测
rjqqew的博客
05-07 584
今天学长向大家介绍一个关于网络安全相关的毕设项目基于机器学习恶意流量识别检测🧿选题指导, 项目分享:见文末目前使用加密通信的恶意软件家族超过200种,使用加密通信的恶意软件占比超过40%,使用加密通信的恶意软件几乎覆盖了所有常见类型,如:特洛伊木马、勒索软件、感染式、蠕虫病毒、下载器等,其中特洛伊木马和下载器类的恶意软件家族占比较高。HTTPS协议也称为SSL上的HTTP安全或超文本传输协议,是以安全为目标的 HTTP 通道,通过传输加密和身份认证保证了传输过程的安全性。
恶意流量分析训练
Yale的博客
02-05 1420
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。 这次实验给出了一个数据包。 我们直接打开 可以看到有nbns的流量 自然就先过滤出nbns的流量来得到host name等信息 通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN...
恶意流量分析训练
Yale的博客
02-05 855
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
恶意流量分析训练
Yale的博客
02-05 1461
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
基于统计特征的恶意加密流量分类.zip
03-20
因此,研究更加智能、自适应的流量分析方法,结合多源信息融合和深度学习的进步,将是未来的重要发展方向。 总之,“基于统计特征的恶意加密流量分类”是网络安全领域的一个关键研究方向,通过深入理解和应用统计学...
35.恶意代码攻击溯源及恶意样本分析1
08-03
5. 同源分析:利用统计学和机器学习方法,对大量恶意样本进行聚类,找出相同来源的恶意活动。 6. 攻击模型:构建攻击模型,用于预测和防范未来可能出现的类似攻击。 四. 总结 网络安全的对抗是一场持久战,恶意...
样本检测分析报告模板
08-15
样本检测分析报告是一种重要的工具,用于记录和呈现对恶意软件或可疑程序的深入研究结果,以便于安全专家、IT管理员和普通用户理解潜在威胁并采取相应的防护措施。本报告模板涵盖了多个关键部分,旨在全面剖析样本的...
基于机器学习网络异常流量分析系统.pdf
09-24
“基于机器学习网络异常流量分析系统” 本系统旨在使用机器学习方法对网络异常流量进行分析和检测,设计异常流量检测模型,通过对HTTP请求头字段进行特征提取,形成多维特征库,应用到高斯混合模型中,进行验证和...
高分项目基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
最新发布
06-28
基于Scapy的正常流量样本的采集(getgoodx.py),以及对于大规模攻击样本数据包的解析(pcap); 数据清洗、过滤和特征工程(这是非常困难的一个步骤,因为特征工程的好坏基本决定了模型的质量上限) 多种不同的机器...
基于机器学习恶意软件加密流量检测研究分享
Yuan's Blog
09-28 4941
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
如何应对加密流量中恶意软件的检测?
图幻未来的博客
01-25 381
当前主流的恶意软件检测技术主要分为三类:基于签名的检测和防护、基于行为的监测和拦截以及异常检测与行为分析等。密钥的安全性和管理是保障加密通讯安全的基础之一。总之, 在日益严峻的网络环境中我们必须要加强对各类型加密场景下的恶意软件检测能力的重视和实践创新, 不断提升网络安全防御的整体水平以确保个人和企业信息的可靠安全和合法权益的保护。通过引入高性能计算设备和优化算法以提高检测的速度和质量 ,使得能够在较短的时间内完成大规模的恶意软件和病毒检测任务的同时保证较高的准确率,从而降低误报率和漏报率的产生概率。
Emotet分析报告
楠木种子的三亩地
06-30 1366
Emotet,是一种计算机恶意软件程序,最初是作为一种银行木马病毒开发的。其目的是访问外部设备并监视敏感的私有数据。Emotet 会骗过基本的防病毒程序并保持隐匿。一旦被感染,该恶意软件会像计算机蠕虫病毒一样传播,并试图渗透到网络中的其他计算机。 其中本样本在虚拟环境当中,不能直接运行,因为存在多种反逆向工程、反调试、反虚拟机技术,因此我们借助强大的第三方网站来帮助我们分析这个样...
恶意流量识别不准确:策略无法准确区分恶意和正常流量
ZOMO的博客
01-25 880
本文针对网络中常见的恶意流量识别问题展开讨论和分析。首先从恶意流量的特征入手,然后深入剖析当前市场上主流防火墙的策略管理能力及其不足;最后提出了针对性的改进措施以帮助用户实现更准确的恶意流量识别和管理。
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 6032
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
cyberdefenders----恶意软件流量分析 1
qq_45616570的博客
03-30 884
​是一个蓝队培训平台,专注于网络安全的防御方面,以学习、验证和提升网络防御技能。使用cyberdefenders的题目来学习恶意流量取证,题目来自真实环境下产生的流量,更有益于我们掌握取证的流程和相关工具的使用,学习攻击者的攻击思路以便于防御者给出更好的解决办法。恶意软件流量分析 1解压密码:cyberdefenders.org通过对给出的流量包进行分析回答下面1-12的相关问题。
半监督学习恶意软件流量检测中的应用
weixin_70923796的博客
08-17 161
从人工智能的发展角度看,基于端口的方法和基于负载的方法都是基于规则来看的,而基于统计的方法属于机器学习的方法,虽然机器学习的方法解决了很多基于规则的方法的弊端,如分类准确率低等,但这个方法也存在着依赖手工设计特征的方法不能提取关键特征的弊端。因此,在这种情况下,采用迁移学习的方法性能会更差。半监督学习是监督学习和无监督学习的结合,由于监督学习的目标是尽可能保留数据的关键特征,而无监督学习的目标是尽可能保留数据的全部特征以还原数据,二者存在矛盾,因此使用式(3)的半监督方法无法获得良好的性能。...
恶意流量分析(三)
weixin_41487541的博客
12-08 535
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析。
恶意代码攻击溯源与样本分析详解
本文主要探讨了恶意代码攻击的溯源及恶意样本分析,涵盖了学术界和产业界的视角,涉及特征提取、预处理、相似性计算、同源判定等多个方面,并介绍了产业界的恶意攻击流程及溯源方法。 一. 前言 网络安全事件与恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值