恶意流量分析训练八

最新推荐文章于 2024-03-24 16:33:44 发布
最新推荐文章于 2024-03-24 16:33:44 发布
阅读量1.4k 收藏 7
点赞数 1
分类专栏: forensic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/104178971
版权

通过该实验通过分析多个eml文件,并根据附件文件进行分析,结合在线分析引擎给出的流量特征结合比对掌握分析技术,本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。

 

给出使用给出了大量邮件附件,请分析判断哪封邮件感染了Marcus的电脑,哪封邮件感染了Marion的电脑

先来看MARCUS

先使用http.request过滤

可以看到主要有两个可疑的地方:

185.165.29.36—GET /trolls.jpg

myexternalip.com—GET /raw

先看第一个疑点,跟踪其tcp流

 

可以看到http头部没有user-agent,而一般正常的http流量都是应该要有的。第二点在上图红圈可以看出这是一个可执行文件而不是conten-type指出的图像文件。这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行

 

 

第二个疑点是因为这个网站是用于查询ip的

而且跟踪tcp流

 

发现同样没有user-agent,也是不正常的

 

 

接下来看看其他的,比如看有没有异常的tcp连接,可以先过滤出tcp syn包

可以看到在前面找到的异常流量之间,我们发现了443,9001端口的流量,我们知道https常会走443,tor常会走9001,也就是说,这两个端口的流量可能是https/ssl/tls加密过的

我们将https server name应用为列然后使用ssl.handshake.extensions_server_name作为过滤条件

可以看到一些奇怪的server name

将这个数据包上传到virustotal分析,看到suricata的结果

可以看到也是提示有tor ssl流量,和网络木马等。

 

 

 

接下来分析marion数据包

同样还是先过滤出http.request

看到了一些可疑的地方

.top域名就很可以,搜索引引擎可以看到

 

这个域名与Cerber有关

将其上传到virustoal看看分析结果

 

可以看到有针对Cerber,Kovter以及其他恶意软件比如JS或WSF下载器等的告警日志

所以我们推测GET /countet?*的流量是JS/WSF文件下载器的链接

而那个top域名是Cerber勒索软件使用的

 

 

 

 

接下来我们分析给出的邮件

先看2304-UTC.eml

使用thunderbirtd打开后如图所示

有个深蓝色的按钮,点击后会访问如图

链接为

http://www.hlygsun.com/tmp/mercadopago/Ativacao_06042017/?ativacao=73566.pdf

不过这个链接在数据包中没有,所以这个邮件应该与此次感染行动无关

接下来看看1439-UTC.eml

如图所示

从内容来看,这是一封FexEX的邮件,让我们打开附件看看快递清单的细节,不过从发件人的邮箱来看,这可能是伪造的邮件

我们保存附件

解压后得到一个js脚本

使用文本编辑器打开

 

在上图中看到很多域名

我们猜测这个js脚本可能会通过这些域名来下载恶意软件

当然,我们也可以通过其hash去搜索引擎看看

在reverse.it看到其通信特征

 

这与marion的特征很像

 

 

接下来看看1230-UTC.eml

又是一封模仿快递公司的邮件,也是查看附件

解压后得到js文件

使用文本编辑器打开

可以看到也有用于通信的域名

同样根据hash在搜索引擎查找

在reverse.it分析出的http流量中看到与marion的也很相似,相比于上一封邮件,这次的js文件的流量的目的ip与marion数据包中的都是相同的,所以我们推测正是这封邮件使得marion的电脑受到感染

接下来看0101-UTC.eml

邮件中有个超链接,点击后会打开

链接为:

https://cl.ly/412v3b1b2f3i?80511692008355950526752

而marcus的数据包中没有指向cl.ly的url的流量,所以不是这封邮件

 

再看看0842-UTC.eml

也是同样的伪造快递公司的邮件,附件解压后也是js文件,通过reverse.it分析发现流量特征与marcus的不符合,故排除

 

看看1652-UTC.eml

 

附件是pdf文件

保存后打开

点击后会重定向到

访问时已经404了

所以这封邮件的调查先到这

 

再看看1830-UTC.eml

也是同样的伪造快递公司的邮件,附件解压后也是js文件,通过reverse.it分析发现流量特征与marcus的不符合,故排除

 

 

看看2155-UTC.eml

 

从内容来看是一封求职者的信,附件是简历,为word格式,可以推测,如果是恶意word的话,可能会通过office宏等方式进行攻击

我们保存后计算hash

搜索引擎查找

可以在revese.it中看到其通信特征

这与marcus数据包中/trolls.jpg那条流量的ip完全相同,所以可以确定该邮件导致marcus电脑受到感染。

 

 

综上所述,答案如下:

下面的邮件感染了Marcus's 电脑

Date: 2017-04-17 at 21:55 UTC


From: "see shenandoah memorial hospital" <mautzel1982@t-online.de>

To: dunhambrothers@dunhamhillsmortuary.com


主题: Hi


附件: see shenandoah memorial hospital.doc

 

下面的邮件感染Marion's 电脑:

Date: 2017-04-08 at 12:20 UTC


From: privileges@ns3.logomotion-serveur.com

To: dunhambrothers@dunhamhillsmortuary.com

主题: Package Delivery Notification

附件: FedEx-Parcel-ID-S0JM7T30.zip

 

 

 

Elwood Ying
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
knn聚类还是分类_机器学习之KNN检测恶意流量
weixin_40000131的博客
12-25 333
背景任何智能活动的都可以称为人工智能,而机器学习(Machine Learning)属于人工智能的一个分支,深度学习(Deep Learning)则是机器学习的分支。近年来,随着基础设施的完善,海量大数据的积累,机器学习方法理论越来越成熟,算力的大幅度提升,互联网企业也越来越愿意增大在AI领域的投入,AI的优势在于处理海量数据提取捕获其有用信息上发挥着非常重要的作用,如OCR领域图片鉴...
流量分析练习2
qq_45766280的博客
08-27 607
流量分析2题解 题目:1.pcap 题解 这个文件不小,初步推断这次的会话会有文件传输里面应该会有文件,扔进binwalk里试了一下,没有什么东西。只能老老实实的做流量分析了。 wireshark一个功能——统计,可以对包的大小、协议进行归类并统计。 统计->conversation,并对内容大小进行排序 可以看到有两个比较大的包,选择一个包并点击下面的Follow Stream...追踪流。第一个包里面没有什么实用的信息,让我们来看看第二个包 这个包里面有几个比较重要的信息,第一个就是这个包
恶意流量分析资料
weixin_33735077的博客
11-14 828
(1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)一些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:https://blog.51cto.com/antivirusjo/1981603...
文章阅读:机器学习检测HTTP恶意外连流量
围城
03-21 1304
2020/03/21 - 阅读文章[1]的总结。 [1]这篇文章是,利用层次聚类的方法来聚类恶意外联流量恶意外联流量,就是受控主机向控制者发送请求,或者传递信息的流量;针对这种流量的检测方案有两种:1)利用黑名单过滤恶意域名2)利用规则匹配来匹配恶意流量。黑名单的方式无法防止域名变化,规则匹配需要专业人员的分析,难以检测变种的恶意连接。第一个原因,我能理解,但是第二个总感觉他说的不是非常明...
恶意流量分析(三)
weixin_41487541的博客
12-08 559
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件一定包含恶意行为的痕迹,首先打开报警文件进行分析。
恶意流量分析训练
Yale的博客
02-05 1483
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
01-12
基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip亮点:国内为数不多的开源的基于机器学习方法的加密恶意流量分析与检测平台;多种协议模板(TCP UDP IP EHER PORT WARN),能够抓取数据更多类型更加丰富的...
Python基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zip
最新发布
04-30
Python基于机器学习的加密恶意流量分析与检测平台源码+文档说明.zipPython基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升...
基于机器学习的加密恶意流量分析与检测平台的源码+文档说明.zip
01-12
基于机器学习的加密恶意流量分析与检测平台的源码+文档说明.zip关键代码部分的文件目录:malicious_traffic_detection_platform.traffic_platform | |_______ train_test (模型训练/预测) | |____ dataset (清洗...
加密流量恶意软件分析在金融场景的实践.pdf
08-10
该技术强调在不破坏加密传输的前提下,实现对恶意流量的检测。 在整个安全分析实践,加密流量恶意软件分析的关键点在于如何在不泄露隐私数据的情况下,对加密的网络流量进行分析和威胁检测。这需要采用先进的算法...
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架
03-18
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,...
恶意流量分析训练
Yale的博客
02-05 870
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
恶意流量分析训练
Yale的博客
02-05 2192
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果可以...
合天恶意流量分析
GrapeSour的博客
07-13 617
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap Windows 主机的 IP 地址。 pcap Windows 主机的 Mac 地址。 pcap Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
0507一日一恶意代码流量分析
m0_37442062的博客
05-09 599
题目下载 1.分析: 对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。 2.使用filter...
恶意流量分析基础学习
weixin_33826268的博客
11-14 988
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量分析(一)
weixin_41487541的博客
11-26 2465
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
恶意流量分析训练
Yale的博客
02-05 1430
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。 这次实验给出了一个数据包。 我们直接打开 可以看到有nbns的流量 自然就先过滤出nbns的流量来得到host name等信息 通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN...
一些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1137
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值