瞭解使用wireshark進行惡意流量分析,培養流量分析的思維和能力,本次實驗涉及知識包括善用搜索引擎、技術分析文章整合、snort日誌分析、以及關於Locky ransomware和Angler EK部分攻擊流量特徵。
試根據給出的數據包等文件,分析解答如下問題
Q1:用戶的姓名?
Q2:用戶windows機器的主機名?
Q3:用戶windows主機的ip地址?
Q4:用戶電腦的mac地址?
Q5:用戶被感染了哪些惡意文件?
打開wireshark上方的菜單,統計-》ipv4 statics->all address,如圖所示
可以看到通信流量基本全部是由10.0.21.136發起的,所以用戶主機的ip地址是10.0.21.136
那麼主機名該如何找到呢?我們先來看看數據包都有哪些協議。
我們知道NetBIOS是Network Basic Input/Output System的簡稱,一般指用於局域網通信的一套API,它在基於 NetBIOS 名稱訪問的網絡上提供主機名和地址映射方法。所以通過NBNS協議我們可以找到主機名
所以選中一條nbns的數據
紅框定位的就是mac地址及主機名
那麼使用者的姓名呢?
在電腦自帶的通信過程中,一般人是不會設置完整的姓名的,題目既然這麼問說明要從其他地方入手,比如用戶在網站註冊,或者他的郵件的名字,都有可能是姓名,所以我們嘗試過濾出http請求數據。
過濾後的數據也不多,往下翻就可以看到
出現了signup的關鍵字
我們跟蹤其tcp流
可以看到post的最後一行發現了姓名。
接下來我們分析下用戶感染了哪些惡意軟件,以及如何被感染的。
可以看到在用戶註冊之後,緊接着是google analytics,這是Google開發的網站流量跟蹤工具。
然後後面就出現了一些奇怪的http get 和 post請求
針對第一條get
將full request uri右鍵-》複製-》值,然後再搜索引擎中查詢
可以看到這是惡意軟件
而這條鏈接分析博客的分析是惡意腳本下載的源鏈接,其模式與博客給出的其他鏈接相同
最後指出這是Locky Malware
後面的post請求是用戶被感染之後訪問其他網頁產生的流量。
那麼只有感染這一個惡意軟件嗎?
我們再繼續分析,往下翻
看到了.top域名,這就要非常敏感了,很多惡意軟件都會去註冊使用.top
選中第一條get,跟蹤tcp流
可以看到referer信息,referer表示是從該頁面鏈接過來的,所以此處的話表明用戶訪問正常的網頁http://www.emidioleite.com........然後被定向訪問到了.top
接下來結合snort日誌分析,根據目的ip去日誌中檢索
可以看到snort檢測到是屬於Angler exploit-kit發起的攻擊,後面還提示是landing page,那麼一定會傳遞載荷
我們進一步分析其他的tcp流
可以看到傳遞了大約443k的載荷文件
我們通過搜索引擎檢索到第一篇捕捉到該攻擊的推文
所以就可以推測這443k的文件就是僞裝成swf格式的flash文件
繼續往下看看剩餘有沒有可疑的流量
在最後的一系列post userinfo.php這種用戶正常訪問的額流量之前我們有看到了奇怪的流量
跟蹤tcp流,可以看到這個referer,說明也是從其他網頁鏈接過來的
去snort日誌了按照目的ip檢索
可以看到也是Angler Exploit-Kit
不過這次的攻擊手法是什麼呢?
我們取消過濾條件,看看
接下來我們要有側重點,因爲實際攻擊中ip是可能動態變化的,而一般端口是不會變得,所以我們的辦法就是在source ip爲10.0.21.136時,看看目的端口有哪些
可以看到主要是80和443
接下來結合關鍵字Agnler exploit-kit一起去搜索引擎搜索
點擊查看,關鍵信息如下
可以看到與443,80有關的通信是由於Crypt ransomware
從文章的分析思路中可以看到Crypt ransomware是由Angler EK派生的
所以我們就可以得出結論了:
用戶受到了三次感染,第一次是來自malware spam的Locky ransomware,第二次是Angler EK的文件(由分析文章推知是僞裝的swf文件),第三次是Angler EK的CryptXXX ransomware。
.net