通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。
环境:
局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255)
域:eggnogsoup.com
域控:172.16.3.2-EggNogSoup-DC
网关:172.16.3.1
广播地址:172.16.3.255
使用wireshark打开数据包如图所示
Q1:域里有多少台存活的主机,分别给出他们的地址
点击上方的菜单->统计->conversations
选中ipv4选项卡,点击address A,就会按照address A排序了
然后就按照address A这一列来写出属于172.16.3.0/24的各个主机的ip
172.16.3.189
172.16.3.188
172.16.3.133
172.16.3.122
172.16.3.114
172.16.3.112
172.16.3.111
172.16.3.110
172.16.3.109
172.16.3.2
Q2.哪个主机的操作系统是ubuntu?
这个问题考到一个知识点,就是访问网页时,用户的http请求包的头部的user-agent可能会泄露对应的操作系统的部分信息。
部分user agent如下所示
· · Firefox
· · Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0
· · Mozilla/5.0 (X11; U; Linux x86_64; zh-CN; rv:1.9.2.10) Gecko/20100922 Ubuntu/10.10 (maverick) Firefox/3.6.10
· ·
· · Safari
· · Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.7 Safari/534.57.2
· ·
· · chrome
· · Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36
· · Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.64 Safari/537.11
· · Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.16 (KHTML, like Gecko) Chrome/10.0.648.133 Safari/534.16
那么回到题目,我们使用wireshark的过滤命令来过滤出有ubuntu关键字不就好了吗
随便打开一条,右键追踪tcp流
可以从user agent看到确实是ubuntu的关键字
Q3:ip地址为172.16.3.188的是什么类型的主机?
根据题目对应的过滤为
ip.addr eq 172.16.3.188
可以看到发起的dns请求是查询icloud的
我们知道icloud是苹果的域名;或者从其mac地址也可以看出是苹果设备。
那么是iphone,ipad还是mac呢?。
还是用上一步的做法,看user agent
User agent是在http请求头部中带的,所以过滤命令加上http.request
右键跟踪tcp流
可以看到是iphone8
Q4:哪个ip地址最有可能是Amazon Fire tablet
这是亚马逊的一款平板电脑。这时候还是用找ubuntu的方法能行吗?
可以看到只有一条数据,追踪tcp流看到的user agent和Amazon Fire tablet关系并不大
那么也就是说这种方法失效了。还有别的方法吗?记得在上一题的时候我们发现dns协议的回去查询苹果的域名,那么亚马逊平板的流量是不是也会去查询Amazon的域名呢?
我们试试过滤看。
dns.qry.name contains amazon
可以看到对应的ip有三个:172.16.3.122,172.16.3.111,172.16.3.109
还有其他方法进一步判断吗?
我们知道亚马逊的网上采用了https,我们可以尝试过滤出https域名中有amazon的
ssl.handshake.type == 1 and ip contains amazon
可以看到这时候只剩两个ip了:172.16.3.122,172.16.3.109
那进一步怎么缩小范围呢?
看MAC
看172.16.3.122的,可以看到这是苹果的设备
再看172.16.3.109的
可以看到这是亚马逊的设备
所以答案就是172.16.3.109
其实还有一个思路,也是看ua,不过用的关键字不是amazon,那么时候什么呢?
我们知道user agent也会有浏览器的特征,比如firefox,chrome等,那么这个平板上的浏览器是什么呢?
通过关键字可以看到其特有的浏览器是Silk,那么我们试试使用silk关键字来过滤
这次看到只有一个ip符合,就是172.16.3.109
Q5:哪些windows主机曾经连接到域控上?
先来理清楚概念:域建立后会有一个管理域成员的目录列表,称之为活动目录Active Directory(AD),而AD默认使用Kerberos处理认证请求。所以我们考虑使用kerberos关键字进行过滤
将第一条展开如图
从CNameString就可以看出是哪台windows连入了。
为了方便查看所有连入的windows的信息,我们选中这一行,右键-》应用为列
然后就可以看到多了一列CNameString
所以连接到windows上的域控主机有:
172.16.3.144,172.16.3.133,172.16.3.189
Q6:下面三台主机中哪一台主机有感染Emotet银行木马的迹象?(172.16.3.114,172.16.3.133,172.16.3.189)
我们看一下给出的流量图
注意到这里的栏目与wireshark默认的不同,所以先调整为同样的栏,方便后续比对分析(调整过程请参考https://unit42.paloaltonetworks.com/unit42-customizing-wireshark-changing-column-display/),调整完毕后使用下列命令过滤
(http.request or ssl.handshake.type == 1) and !(udp.port eq 1900) and ip.addr eq ip
172.16.3.114如下
172.16.3.133如下
172.16.3.189如下
结合多种特征(比如info栏中get,client hello的顺序、频率等)比对后可以发现133机器最符合感染后的通信特征
Q7:运行着安卓8.0.0的ip地址是多少?是什么牌子和型号?
同样使用user agent的方法
http.request and ip contains "8.0.0"
跟踪tcp流
确实是安卓8.0.0,型号为moto e5 play
地址是172.16.3.111