如何通过“流量线索”进行恶意程序感染分析
流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析
- from: https://www.sec-un.org/traffic-safety-analysis-v-how-to-traffic-trail-for-malware-infections/
原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)
场景说明:
我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。
场景详细分析:
用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:
可以看到除了一些http GET和POST请求,没有其他发现。见下图:
我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:
通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图:
点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图:
只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图:
而这里的报告,我们注意到它有评论。如下图:
多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里,一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图:
这到底是什么恶意软件?也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图:
转载于:https://www.cnblogs.com/bonelee/p/11382112.html
如何通过“流量线索”进行恶意程序感染分析相关推荐
- Flappy Bird 恶意程序详细分析
爱小狐狸的小螃蟹 · 2014/03/25 17:55 0x00 背景 Flappy Bird是在年初的时候非常火爆的一个小游戏,但是后来作者在2014年2月10日将其在Apple与Google商店下 ...
- dbf如何导入oracle_Oracle软件的安装介质被注入恶意程序事件分析与防御
No.1 声明 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任. 雷神众测拥有对此文章的修改和解释权.如欲转载或传播此文 ...
- 中国是恶意程序感染率最高的国家
文章讲的是中国是恶意程序感染率最高的国家,在过去的一年中,包括索尼.婚外情网站婚外情网站Ashley Madison和美国电信运营商T-Mobile在内的诸多科技企业都遭到了黑客攻击,而且伴随着云计算 ...
- 无需宏,PPT也能用来投递恶意程序
近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序. 使用经过特制的Office文件--特别是Word文档来传播恶意软件其实并不少见,此类 ...
- 干掉感染IE的恶意程序(转)
干掉感染IE的恶意程序(转) 看了<黑客帝国III矩阵革命>,我的心情很沉重.我原以为人类能战胜机器,我原以为人类能延续文明.但是结果令人失望.原来在强大的机器面前,人类是如此的不堪一击. ...
- [转载]中情局数千份机密文档泄露:各种0day工具、恶意程序应有尽有
转载:http://www.freebuf.com/news/128802.html 维基解密最近再度获取到了数千份文件--据说这些文件是来自CIA(中央情报局),文件细数了CIA所用的网络入侵工具及 ...
- 网络安全专家发现了一款由微软数字签名的“FiveSys”新恶意程序
导读 Bitdefender 的网络安全专家近日发现了一款名为"FiveSys"的新恶意程序,它是一个 rootkit,实际上是由微软自己进行数字签名的. FiveSys 恶意驱动 ...
- 一波未平,一波又起:“永恒之石”恶意程序利用七种NSA“网络武器”
继WannaCry席卷全球后,恶意软件永恒之石(EternalRock)浮出水面,该恶意程序利用了黑客组织从NSA窃取的七种"网络武器". NSA"网络武器"被 ...
- SUCEFUL:将ATM变得“惟命是从”的新型恶意程序
近日,美国网络安全公司FireEye的专家发现了一种针对ATM自动取款机的新型恶意程序--SUCEFUL.这已经不是第一个旨在破坏ATM机的恶意程序了,在过去几年,安全专家已经检测到的针对ATM取款机 ...
最新文章
- 《大厂算法面试题目与答案汇总,剑指offer等常考算法题思路,python代码》V1.0版...
- Win10创意者更新刚发布 夜间模式就出BUG
- Object类有哪些公用方法?
- MySQL-常用引擎
- Orchard中如何配置远端发布
- MySQL 之 索引
- Xception总结
- 解压mysql server_2018-05-09 MySql-server解压缩版安装及配置
- python中for语句的使用_python中for in的用法
- Github上如何找到自己想要的开源项目(小技巧:精确搜索)
- 解决微信浏览器无法使用reload()刷新页面
- Axure9桌面无法显示图标
- 图像叠加文字(点阵字库)原理解析
- 高德地图获取坐标距离_高德地图计算两坐标之间距离
- 51nod1359 循环探求
- 程序员写代码也存在本手、妙手、俗手
- sasl java_SASL协议java实现
- 曾经的大学德育论文,致敬天津理工大学
- C语言打字游戏(无错误警告版)
- 批量转换图像格式Irfanview之CR2图片转Jpeg
热门文章
- linux 进程数量限制,LINUX下每进程限制线程数量
- linux java乱码怎么解决,linux中显示中文乱码如何解决
- win10 修改gitlab账号_玩转gitlab + jenkins
- mac java jdk_mac下java JDK的下载安装和配置
- 哪种css实现方式优势更突出_【第十三课】更合理的CSS结构
- linux tomcat 配置启动命令,# linux 之 配置tomcat开机自启动(systemctl)
- thinkphp5.0配置php版本,PHP开发-Mac搭建ThinkPHP5.0
- laravel的composer require报错:Installation failed, reverting ./composer.json to its original content.
- 「高并发秒杀」java课程设计报告模板
- 【网页前端设计Front end】JavaScript教程.下(看不懂你来打我)