流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析

  • from: https://www.sec-un.org/traffic-safety-analysis-v-how-to-traffic-trail-for-malware-infections/

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)

场景说明:

我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。

场景详细分析:

用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:

可以看到除了一些http GET和POST请求,没有其他发现。见下图:

我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:


        通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图:

点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图:

只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图:

而这里的报告,我们注意到它有评论。如下图:


        多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里,一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图:

这到底是什么恶意软件?也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图:

转载于:https://www.cnblogs.com/bonelee/p/11382112.html

如何通过“流量线索”进行恶意程序感染分析相关推荐

  1. Flappy Bird 恶意程序详细分析

    爱小狐狸的小螃蟹 · 2014/03/25 17:55 0x00 背景 Flappy Bird是在年初的时候非常火爆的一个小游戏,但是后来作者在2014年2月10日将其在Apple与Google商店下 ...

  2. dbf如何导入oracle_Oracle软件的安装介质被注入恶意程序事件分析与防御

    No.1 声明 由于传播.利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任. 雷神众测拥有对此文章的修改和解释权.如欲转载或传播此文 ...

  3. 中国是恶意程序感染率最高的国家

    文章讲的是中国是恶意程序感染率最高的国家,在过去的一年中,包括索尼.婚外情网站婚外情网站Ashley Madison和美国电信运营商T-Mobile在内的诸多科技企业都遭到了黑客攻击,而且伴随着云计算 ...

  4. 无需宏,PPT也能用来投递恶意程序

    近日,网络犯罪者开发出了一种新型攻击技术,它可以利用发送PPT文件和鼠标悬停来让用户执行任意代码,并下载恶意程序. 使用经过特制的Office文件--特别是Word文档来传播恶意软件其实并不少见,此类 ...

  5. 干掉感染IE的恶意程序(转)

    干掉感染IE的恶意程序(转) 看了<黑客帝国III矩阵革命>,我的心情很沉重.我原以为人类能战胜机器,我原以为人类能延续文明.但是结果令人失望.原来在强大的机器面前,人类是如此的不堪一击. ...

  6. [转载]中情局数千份机密文档泄露:各种0day工具、恶意程序应有尽有

    转载:http://www.freebuf.com/news/128802.html 维基解密最近再度获取到了数千份文件--据说这些文件是来自CIA(中央情报局),文件细数了CIA所用的网络入侵工具及 ...

  7. 网络安全专家发现了一款由微软数字签名的“FiveSys”新恶意程序

    导读 Bitdefender 的网络安全专家近日发现了一款名为"FiveSys"的新恶意程序,它是一个 rootkit,实际上是由微软自己进行数字签名的. FiveSys 恶意驱动 ...

  8. 一波未平,一波又起:“永恒之石”恶意程序利用七种NSA“网络武器”

    继WannaCry席卷全球后,恶意软件永恒之石(EternalRock)浮出水面,该恶意程序利用了黑客组织从NSA窃取的七种"网络武器". NSA"网络武器"被 ...

  9. SUCEFUL:将ATM变得“惟命是从”的新型恶意程序

    近日,美国网络安全公司FireEye的专家发现了一种针对ATM自动取款机的新型恶意程序--SUCEFUL.这已经不是第一个旨在破坏ATM机的恶意程序了,在过去几年,安全专家已经检测到的针对ATM取款机 ...

最新文章

  1. 《大厂算法面试题目与答案汇总,剑指offer等常考算法题思路,python代码》V1.0版...
  2. Win10创意者更新刚发布 夜间模式就出BUG
  3. Object类有哪些公用方法?
  4. MySQL-常用引擎
  5. Orchard中如何配置远端发布
  6. MySQL 之 索引
  7. Xception总结
  8. 解压mysql server_2018-05-09 MySql-server解压缩版安装及配置
  9. python中for语句的使用_python中for in的用法
  10. Github上如何找到自己想要的开源项目(小技巧:精确搜索)
  11. 解决微信浏览器无法使用reload()刷新页面
  12. Axure9桌面无法显示图标
  13. 图像叠加文字(点阵字库)原理解析
  14. 高德地图获取坐标距离_高德地图计算两坐标之间距离
  15. 51nod1359 循环探求
  16. 程序员写代码也存在本手、妙手、俗手
  17. sasl java_SASL协议java实现
  18. 曾经的大学德育论文,致敬天津理工大学
  19. C语言打字游戏(无错误警告版)
  20. 批量转换图像格式Irfanview之CR2图片转Jpeg

热门文章

  1. linux 进程数量限制,LINUX下每进程限制线程数量
  2. linux java乱码怎么解决,linux中显示中文乱码如何解决
  3. win10 修改gitlab账号_玩转gitlab + jenkins
  4. mac java jdk_mac下java JDK的下载安装和配置
  5. 哪种css实现方式优势更突出_【第十三课】更合理的CSS结构
  6. linux tomcat 配置启动命令,# linux 之 配置tomcat开机自启动(systemctl)
  7. thinkphp5.0配置php版本,PHP开发-Mac搭建ThinkPHP5.0
  8. laravel的composer require报错:Installation failed, reverting ./composer.json to its original content.
  9. 「高并发秒杀」java课程设计报告模板
  10. 【网页前端设计Front end】JavaScript教程.下(看不懂你来打我)