恶意流量分析训练六

通过该实验了解恶意流量分析训练的基本技能，本次实验主要涉及包括：ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis，钓鱼网页等。

 

 

本次流量分析，需要回答以下问题：

1. 1. 1. 1. 1. 1. 1. 活动发送的时间，日期
                  2. 哪台主机发生了什么
                  3. indicatirs(指标)，包括（ip,域名等）

首先还是过滤出http请求的流量看看能不能找到什么蛛丝马迹

直接使用http.request过滤会发现还有大量的ssdp。

什么是ssdp？

简单服务发现协议（SSDP，Simple Service Discovery Protocol）是一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一。

简单服务发现协议提供了在局部网络里面发现设备的机制。控制点（也就是接受服务的客户端）可以通过使用简单服务发现协议，根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备（也就是提供服务的服务器端）也可以通过使用简单服务发现协议，向自己所在的局部网络里面的控制点宣告它的存在。

从上面的描述中我们知道，ssdp对我们这次实验没什么作用，反而会干扰我们的分析，所以我们加上条件把ssdp过滤掉

可以看到前面的流量都是指向www.stmrtbahrain.com的http get 请求，选中一条跟踪tcp流

 

可以看到user agent，将其复制到这个专门根据user-agent指纹判断主机的网址（https://developers.whatismybrowser.com/useragents/explore/），点击analyse分析

 

在结果中可以看到这是win7的chrome 67的指纹

接下来我们要找到hostname和user account name

我们知道hostname的方法有很多，dhcp,nbns等我们前面都有用过，不过这个数据包里面没有dhcp流量，而nbns的流量中没有可以涉及可以获取到hostname的类型

 

所以我们尝试使用smb流量

可以看到，hostname,ip,mac地址全部都拿到了

至于user account name还是使用kerberos

如上图依次展开对应的标签

选中CNameString，右键将其应用为列

 

此时窗口中就多了CNameString一列

有没有注意到不同的比方，有些末尾带有$，有些没有

末尾带有$的是hostname，末尾不带有$的是windows account name，也就是user account name

从上图中可以看出172.168.2.169的hostname为conservator-pc,172.168.2.169的windows account name为llooyd.maxwell

 

从下图可以看到数据包是从2018-6-30的20：27开始记录的

结合告警日志看看

第一条告警日志的目的端口是49199

我们以此为条件进行过滤

 

所以可以知道可疑的活动是从20：27开始的

接下来我们着重关注报警日志中的CNC,CURRENTS_EVENTS,TROJAN

CNC指的之CNC服务器，一般恶意软件都会与远程攻击者进行通信，包括命令和控制，即command and control；CURRENT_EVENTS指一些值得注意的正在发生的事情；TROJAN指木马病毒等

先看TROJAN和current_events的

根据对应的端口特征使用wireshark将其流量过滤出来

再看CNC的

同样过滤出来

 

 

 

 

我们注意到告警日志中还有目的地址为93.95.100.138的80端口的流量

将其过滤出来

注意到结果中的host比较奇怪，可以去查一下它的顶级域名kimbrelelectric.com

点击第一条看看hybrid analysis（这个网站也是一个在线分析恶意软件的引擎）分析

可以看到这个顶级域与一个恶意的flashplayer的js文件有关，这正好对应着告警日志中的如下所示

 

JS.SocGlhlish表示着基于JS的社会工程学攻击,名称为“Gholish“

 

 

还有其他线索吗？

注意到流量中指向lw2e.sineadhollywoordnutt.com的http get请求，url中含有“chromefiles”

我们选中第一条追踪http流

在其代码中我们看到title显示为chrome更新

但是我们知道chrome更新都是从谷歌注册的域名处更新的，而这里不是，所以我们有理由怀疑这是钓鱼页面，我们可以将其导出

 

file->export objects->http

选中后点击save，然后使用火狐打开

 

可以看到确实是一个模仿chrome更新的页面

我们可以推测：当受害者点击update chrome的按钮之后就会下载恶意文件，如果发生下载行为，那么源码中一定有之处源url

我们找到了关键代码

但是这是混淆的，还是无法判断

那么换一种思路，我们查找在第一条lw2e.sineadholluwoodnutt.com之后的流量，如果有可疑的，那么就跟着分析；这里要注意，可能是走http也可能是https，而且可能会涉及到dns协议用于解析域名

所以过滤的命令如下所示

 

注意到有facebook,google，这些都是正常的，不过随后我们发现了dropbox的

在很多攻击行为中，攻击者会选择dropbox来分发恶意软件，而且在这个数据包里，访问lw2e.sineadholluwoodnutt.com之后马上就是访问dropbox，联想到钓鱼页面，这样我们不难推测出这个场景下dropbox就是用于分发恶意软件的

但是如下所示，由于走的是https，所以我们无法确定究竟哪一条数据下载了恶意文件

在告警日志中我们注意到，通过dropbox下载恶意文件后，很快就告警cnc了

搜索关键字feodo tracer

看看分析出的特征

注意到端口为4143

 

在wireshark中我们过滤出107.170.231.118

 

可以看到大量连向107.170.231.118的tcp 4143端口的流量，与之前的搜索结果吻合

所以我们可以退出107.170.231.118:4143就是C&C的通道

但是我们还注意到一个细节，过滤出的流量中没有一次是完整的tcp三次握手，这可能是因为对应的主机已经下线了

其实在专门分析feodotracer的网址有已经记录下我们分析出的这个恶意目标ip了

 

还有其他可疑的地方吗？

在流量中我们注意到有大量的顶级域为gtv1.com的流量

 

whois查一下

可以看到和google有关，结合之前钓鱼行为的推测，我们可以判断出这应该是chrome升级的链接，当受害者点击假的升级按钮后，钓鱼页面做了两件事—一件是下载恶意文件，一件是连接都真正的升级服务进行chrome升级，免得被受害者发现自己被钓鱼了

 

 

分析至此，我们已经可以得出答案了：

ip:172.16.2.169

mac地址：00:13:92:06:5c:7b

host name:conservator-PC

user account name:Lloyd.maxwell

indicators:

93.95.100.178-80-lw2e.sineadhollywoodnutt.com-发往伪造的chrome更新页面的http请求

107.170.231.118-4143-Feodo产生的tcp流量-多次尝试tcp连接但是没有从服务端收到响应