流量分析实战(1⃣️)_2014_11_16
1⃣️、概述
本文材料来源于Malware-Traffic,此次分析的数据包目前网上已有分析文章wangtiankuo大佬以及作者本身写的Writeup。但笔者认为之前关于此数据包的分析文章写的过于简单,很多部分都是一笔带过直接公布答案,对初学者不是很友好。因此才有了本篇文章,本篇文章以一个陌生数据包和作者的问题为开始,到最终找到所有相关答案结束。
2⃣️、工具
数据包分析工具:Wireshark
编辑工具:Notepad++
虚拟服务器:inetsim
工具类目前就用到这么多,以后的文章用到新工具的话会持续进行介绍。
3⃣️、拆解分析PCAP
当PCAP包利用wireshark打开后,是不是一脸的懵,虽然大小只有2.43M但一眼望去会话内容还是挺多的。如图一所示:
图1⃣️
此时直接利用basic过滤表达式进行过滤(关于basic、basic+等表达式如何设置请点这里),此时可以明显看到SrcIp只有172.16.165.165,DstIp对应好几个,这种一对多请求。如图二所示:
图2⃣️
利用basic进行过滤以后可以看出Host共是6⃣️个按时间顺序分别是:www.bing.com、www.ciniholland.nl、adultbiz.in、stand.trustandprobaterealty.com、24corp-shop.com、stand.trustandprobaterealty.com。
此时观察图2⃣️跟踪数据流”www.ciniholland.nl“的首包请求(包序号161),如图三所示:
图3⃣️
在图三从请求部分的Referer字段?️看出此处的请求是从利用bing搜索“ciniholland.nl”链接过来的。在响应体?️URL框内标签?️包含了多个URL,仔细一看和图2⃣️中获取的信息做对比就会发现标签里的URL,出现在了图2⃣️?️。那么可以直接图三的响应体里进行搜索其他的host看是否出现。如图4⃣️所示:
图4⃣️
从图4⃣️?️可以观察<script>包含了“adultbiz.in/new/jquery.php”即此处加载了一个远程脚本。同样的看到“24corp-shop.com”也出现了,还有“youtube”。其中对“24corp-shop.com”的加载可以在图3⃣️的响应体?️同样的代码出现了两次,如图5⃣️所示是在结尾处出现的(此处利用漏洞CVE-2013-2551)。
图5⃣️
从图4⃣️和图5⃣️?️都能观察出来当文件加载完毕后才能发起对“24corp-shop.com”的请求。
接下来直接追踪对“24corp-shop.com”请求的HTTP流可发现在响应体的标签?️嵌套着对“stand.trustandprobaterealty.com”的请求如下图图6⃣️所示:
图6⃣️
在图6⃣️?️通过请求头的Referer字段可发现此处的请求是从对“ciniholland.nl”链接过来的。并且对“stand.trustandprobaterealty.com”的请求在网页返回时可直接发起。同时表明对“http://stand.trustandprobaterealty.com/?PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg|ZDJiZjZiZjI5Yzc5OTg3MzE1MzJkMmExN2M4NmJiOTM”的请求,请求头?️的Referer肯定是“http://24corp-shop.com/”如下图图7⃣️所示:
图7⃣️
分别追踪数据流可发现两次请求行为一致(包序号1212、1213)。分别是:
1、先请求一个html,获取攻击代码。(由响应的Content-Type: text/html)进行判断。
2、接下来请求一个加密的DLL。(由响应的Content-Type: application/x-msdownload)进行判断
3、最后请求一个SWF文件(由响应的Content-Type: application/x-shockwave-flash)进行判断,此文件跟FLASH有关
如下图图8⃣️所示为部分请求,从响应体?️可推测请求的是攻击代码,然后在请求加密DLL和SWF文件。如下图所示:
图8⃣️
接下来分别查看关于“stand.trustandprobaterealty.com”的其他几个请求。其中tcp.stream eq 28(包序号2463)、tcp.stream eq 29(包序号2467)行为十分相似如图9⃣️所示。分别是:
1、先请求一个XML。XML?️嵌套另一个对“jar”请求的URL。
2、请求“jar”。(由Content-Type: application/java-archive)进行判断
图9⃣️
4⃣️、拆解分析PCAP总结
通过对整个数据包分析目前可发现在对"www.ciniholland.nl"的请求(利用CVE-2013-2551发起的)进行响应的时候会主动加载对"24corp-shop.com"的请求。在对"24corp-shop.com"进行响应时会利用<iframe>标签主动发起对"stand.trustandprobaterealty.com"的请求,然后下载DLL文件,请求SWF文件等。
5⃣️、解题&描述
第1级问题:
1)被感染的Windows VM的IP地址是什么?
172.16.165.165。此处是由“172.16.165.165”,发起的一些列行为。
2)被感染的Windows VM的主机名是什么?
Name: K34EN6W3N-PC<00> (Workstation/Redirector)通过过滤"bootp"即可如下图图?所示,更多关于查找主机名的方法请点击这里:
图?
3)受感染虚拟机的MAC地址是多少?
Address: f0:19:af:02:9b:f1 (f0:19:af:02:9b:f1)
4)受感染网站的IP地址是什么?
Destination: 82.150.140.30(www.ciniholland.nl)
5)受感染网站的域名是什么?
www.ciniholland.nl
6)提供漏洞攻击包和恶意软件的IP地址和域名是什么?
37.200.69.143 。此处将加密的DLL认为是恶意软件,SWF和jar认为是攻击代码(通过VT检索两个代码都是恶意的)。
7)提供漏洞攻击包和恶意软件的域名是什么?
stand.trustandprobaterealty.com
第2级问题
1)指向漏洞利用工具包(EK)登录页面的重定向URL是什么?
http://24corp-shop.com/ 此处翻译为重定向,但是其不算是重定向,信息如图6⃣️所示,直接进行加载的。
2)在着陆页(包含CVE-2013-2551 IE漏洞利用)旁边,EK发送了哪些其他漏洞利用?
a Flash exploit and a Java exploit(此处认为下载的SWF和jar文件均为攻击代码)。
3)有效载荷交付了多少次?
3下载了三次dll
4)将pcap提交给VirusTotal并找出触发的snort警报。Suricata警报中显示了哪些EK名称?
此处笔者没有VT付费会员,普通会员是看不到的,所以直接看作者答案即可。
ET CURRENT_EVENTS Goon/Infinity URI Struct EK Landing May 05 2014 ET
CURRENT_EVENTS RIG EK Landing URI Struct
ET CURRENT_EVENTS GoonEK encrypted binary (3)
第3级问题:
1)检查我的网站,我(和其他人)有什么称呼这个漏洞攻击包?
rig EK(漏洞利用工具包)(从二级问题4⃣️中可知道)
2)受感染网站的哪个文件或页面包含带有重定向URL的恶意脚本?
The index page for www.ciniholland.nl had the URL for http://24corp-shop .com/
3)提取漏洞利用文件。什么是md5文件哈希?
此处直接利用文件导出进行计算即可。
Flash exploit: 7b3baa7d6bb3720f369219789e38d6ab
Java exploit: 1e34fdebbf655cebea78b45e43520ddf
6⃣️、整篇总结
从数据包整体来看从“www.ciniholland.nl”的访问开始到最后结束下载恶意文件。由于恶意文件加密了无法持续进行分析,感觉作者这里在利用SWF和JAR文件时不清楚怎么判定的请求的是攻击代码。感兴趣的同学可以利用虚拟服务器:inetsim将每一步的文件导出,进行访问,看每一步请求的URL,也可以完成分析(比如对将“ciniholland.nl”请求首包导出就可发现对“24corp-shop .com”的请求)。
7⃣️、奉上资源
所有信息如有侵权,请及时与作者联系!!!
1⃣️、材料&作者答案下载
2⃣️、wireshark分析基础设置
3⃣️、参考安全客文章
4⃣️、@wangtiankuo的分析
流量分析实战(1⃣️)_2014_11_16相关推荐
- wireshark流量分析实战
wireshark Wireshark(前称Ethereal)是一个网络封包分析软件.网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料.Wireshark使用WinPCAP作 ...
- 记一次流量分析实战——安恒科技(八月ctf)
题目所需流量包: 链接:https://pan.baidu.com/s/1VprgAey4UQlXkWyrpCORBg?pwd=o4vw 提取码:o4vw 一.题目背景 某公司内网网络被黑客渗透,简单 ...
- java hbase流量日志,Spark+Hbase 亿级流量分析实战(日志存储设计)
接着上篇文章 百亿级流量实时分析统计 - 数据结构设计 我们已经设计好了日志的结构,接下来我们就准备要开始撸代码了,我最喜欢这部分的环节了,可是一个上来连就撸代码的程序肯定不是好程序员,要不先设计设计 ...
- 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)
网络流量分析 Network Traffic Analysis(NTA) 这个系列讲的是整个网络流量分析流程,其中包含TCP协议.HTTP协议详解和Wireshark.Tcpdump的详细用法,现在只 ...
- ArcGIS水文分析实战教程(9)雨量计算与流量统计
ArcGIS水文分析实战教程(9)雨量计算与流量统计 本章导读:降水是水文循环中重要的一环,降水包括雨.雪.雾.露.雹等,本章介绍的是降雨的环节.通过雨量站与插值的方式,实现雨量的空间分布就算,为水文 ...
- ArcGIS水文分析实战教程(5)细说流向与流量
ArcGIS水文分析实战教程(5)细说流向与流量 本章导读:流向分析是ArcGIS水文分析工具的基础,属于GIS技术方面的术语:流量统计则是水文分析用作划分流域.河流等级的指标,属于水文行业术语.在利 ...
- 大数据实战:用户流量分析系统
---------------------------------------------------------------------------------------------------- ...
- ArcGIS水文分析实战教程(13)流域提取流程
ArcGIS水文分析实战教程(13)流域提取流程 本章导读:这里的流域是一个自然概念,而不是行政概念,或者称之为集水区更加合理一些.在流域提取中,其过程都是先定义河流然后才能通过河流定义流域.其中流域 ...
- ArcGIS水文分析实战教程(12)河网分级流程
ArcGIS水文分析实战教程(12)河网分级流程 本章导读:如果说河流提取是面对没有数据后者数据匮乏的用户,那么河网分级就完全属于为水文研究而生的一个工具.河流具有干流和支流之分,河网分级能够将这些干 ...
最新文章
- Eclipse安装spring tool suite(4.9.0版本)
- script标签的defer属性
- python27安装教程-Python2和Python3安装教程
- 最好的编程名言,大家一起来共勉----转载
- leetcode 刷题 3. 无重复字符的最长子串解题思路
- USACO1.4 The Clocks(clocks)
- CoreAPI_对象三种状态
- Oracle数据块原理深入剖析
- JavaWeb第二讲 重定向与转发 doGet()与doPost()
- sql每个月每个人的花销占比_星座月运(2020年12月),每个人开支花费大,得精打细算...
- USACO 1.1 Your Ride Is Here
- 牛客练习赛74 D CCA的图
- linux符号命令,Linux_几个符号命令(示例代码)
- javascript-内置对象-date对象-JSON对象-Math对象
- C# CharacterToBinary 将类似2进制字符串 10010110111 转换为数值型源码
- TCxGrid 把列移上移下。
- 2012/10/31的工作总结——潘学
- java开发微信付款码支付
- 高考证件照要求什么底色
- 清晨思语------管理谚语
热门文章
- 英文歌曲:a place nearby(不远的地方)
- DC/DC电源介绍及应用要点
- 烧友必读《音响二十要》转台湾音响大师刘汉盛毕生精华
- 使用ViewPager实现轮播图自动播放
- react-Mobx基本使用
- NanoPi NEO2使用
- 1.10HDFS 回收站机制
- “金链熊“已致200多家机构受害,或为年度最严重APT攻击事件
- 孙悟空吃蟠桃c语言编程,孙悟空吃了几壶仙丹, 几颗蟠桃, 怎么就炼成金刚不坏之身了?...
- 苏州实时公交app接口根据站台查询公交状态