恶意流量分析训练二

通过该实验了解使用wireshark进行恶意流量分析，本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。

 

 

环境：

局域网段：172.16.3.0/24（172.16.3.0 到 172.16.3.255）

域：eggnogsoup.com

域控：172.16.3.2-EggNogSoup-DC

网关：172.16.3.1

广播地址：172.16.3.255

 

使用wireshark打开数据包如图所示

Q1:域里有多少台存活的主机，分别给出他们的地址

点击上方的菜单->统计->conversations

选中ipv4选项卡，点击address A，就会按照address A排序了

然后就按照address A这一列来写出属于172.16.3.0/24的各个主机的ip

172.16.3.189

172.16.3.188

172.16.3.133

172.16.3.122

172.16.3.114

172.16.3.112

172.16.3.111

172.16.3.110

172.16.3.109

172.16.3.2

 

Q2.哪个主机的操作系统是ubuntu？

这个问题考到一个知识点，就是访问网页时，用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。

部分user agent如下所示

·  ·  Firefox

·  ·  Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0

·  ·  Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10

·  ·   

·  ·  Safari

·  ·  Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2

·  ·   

·  ·  chrome

·  ·  Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36

·  ·  Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11

·  ·  Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.133 Safari/534.16

那么回到题目，我们使用wireshark的过滤命令来过滤出有ubuntu关键字不就好了吗

随便打开一条，右键追踪tcp流

可以从user agent看到确实是ubuntu的关键字

 

 

Q3：ip地址为172.16.3.188的是什么类型的主机？

根据题目对应的过滤为

ip.addr eq 172.16.3.188

可以看到发起的dns请求是查询icloud的

我们知道icloud是苹果的域名；或者从其mac地址也可以看出是苹果设备。

那么是iphone，ipad还是mac呢？。

 

 

还是用上一步的做法，看user agent

User agent是在http请求头部中带的，所以过滤命令加上http.request

右键跟踪tcp流

可以看到是iphone8

 

 

Q4:哪个ip地址最有可能是Amazon Fire tablet

这是亚马逊的一款平板电脑。这时候还是用找ubuntu的方法能行吗？

可以看到只有一条数据，追踪tcp流看到的user agent和Amazon Fire tablet关系并不大

那么也就是说这种方法失效了。还有别的方法吗？记得在上一题的时候我们发现dns协议的回去查询苹果的域名，那么亚马逊平板的流量是不是也会去查询Amazon的域名呢？

我们试试过滤看。

dns.qry.name contains amazon

可以看到对应的ip有三个：172.16.3.122,172.16.3.111,172.16.3.109

还有其他方法进一步判断吗？

我们知道亚马逊的网上采用了https，我们可以尝试过滤出https域名中有amazon的

ssl.handshake.type == 1 and ip contains amazon

可以看到这时候只剩两个ip了：172.16.3.122,172.16.3.109

那进一步怎么缩小范围呢？

看MAC

看172.16.3.122的，可以看到这是苹果的设备

再看172.16.3.109的

可以看到这是亚马逊的设备

所以答案就是172.16.3.109

 

其实还有一个思路，也是看ua，不过用的关键字不是amazon，那么时候什么呢？

我们知道user agent也会有浏览器的特征，比如firefox,chrome等，那么这个平板上的浏览器是什么呢？

通过关键字可以看到其特有的浏览器是Silk，那么我们试试使用silk关键字来过滤

这次看到只有一个ip符合，就是172.16.3.109

 

Q5:哪些windows主机曾经连接到域控上？

先来理清楚概念：域建立后会有一个管理域成员的目录列表，称之为活动目录Active Directory(AD),而AD默认使用Kerberos处理认证请求。所以我们考虑使用kerberos关键字进行过滤

将第一条展开如图

从CNameString就可以看出是哪台windows连入了。

为了方便查看所有连入的windows的信息，我们选中这一行，右键-》应用为列

然后就可以看到多了一列CNameString

所以连接到windows上的域控主机有：

172.16.3.144,172.16.3.133,172.16.3.189

 

 

Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象？（172.16.3.114,172.16.3.133,172.16.3.189）

我们看一下给出的流量图

 

注意到这里的栏目与wireshark默认的不同，所以先调整为同样的栏，方便后续比对分析（调整过程请参考https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/），调整完毕后使用下列命令过滤

(http.request or ssl.handshake.type == 1) and  !(udp.port eq 1900) and ip.addr eq ip

172.16.3.114如下

172.16.3.133如下

 

 

172.16.3.189如下

结合多种特征（比如info栏中get,client hello的顺序、频率等）比对后可以发现133机器最符合感染后的通信特征

Q7:运行着安卓8.0.0的ip地址是多少？是什么牌子和型号？

同样使用user agent的方法

http.request and ip contains "8.0.0"

跟踪tcp流

确实是安卓8.0.0，型号为moto e5 play

地址是172.16.3.111