通過該實驗瞭解惡意流量取證分析方法,主要涉及torrent流量的知識,包括tracer,bittorrent,Deluge等。
背景:
你收到網絡上10.0.0.201的bittorrent流量警報。 Torrent流量通常與受版權保護的內容的文件共享相關聯;當然,也有一些torrent流量是合法的。
我們需要分析分析這個數據包,解答下列問題:
10.0.0.201的mac地址是多少
10.0.0.201的host name是什麼
10.0.0.201的user account name是什麼
10.0.0.201的系統版本
10.0.0.201de torrent活動發生的時間
10.0.0.201下載了什麼torrent文件
10.0.0.201使用了那個torrent客戶端
10.0.0.201上的torrent客戶端分享了哪個文件(做種)?
首先還是過濾出nbns的流量,來獲取hostname
當然,也可以使用dhcp
接下來要找到user account name,自然是通過kerberos協議
kerberos.CNameString中CNameString代表windows的host name和user account name,那麼怎麼區分這兩個呢?
我們先把它過濾出來再看
按照上圖的方式依次展開,然後就能看到CNameString的值,右鍵,將其應用爲列
可以看多了一列
其中以$結尾的是host name ,沒有以$結尾的是user account name
接下來要確定windows的版本號
最簡單也是最常用的方法就是通過user agent來判斷
我們過濾出相應的流量
選中第一條,右鍵跟蹤tcp流
將user agent複製出來,在這裏進行解析
https://developers.whatismybrowser.com/useragents/parse/#parse-useragent
從結果中可以看到這是64位的win10
。
給我們的背景是說有torrent 流量,需要我們分析出發生的時間
我們使用bittorrent過濾
從上圖可以看到發生的時間
我們知道文件擴展名爲.torrent的文件包含引導torrent客戶端使用bittorrent協議檢索文件的信息。那麼10.0.0.201下載了什麼.torrent文件呢?我們可以在url裏過濾出對應的字符串
可以看到只有一條對應的流量
跟蹤tcp流
可以看到文件名爲Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
那麼其他的torrent流量呢?torrent流量還會涉及其他關鍵字,比如announce,scrape等
同樣過濾出來
從host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的
選中第一條跟蹤tcp流
在user agent中看到Deluge 1.3.15
Deluge是什麼?
可以知道它是一個torrent客戶端
那麼抓到的流量究竟在tracking什麼東西ine?
我們可以根據info_hash值來判斷
在http get請求中,我們可以看到info_hash和peer_id
這裏的值是編碼過的,我們將其解碼
可以使用這個網站https://www.asciitohex.com/
將其輸入
點擊convert
得到其16進制
然後進行搜索
可以看到是一個ubuntu 18.04的iso文件,文件名爲ubuntu-18.04-desktop-and64.iso
針對其他的流量也使用同樣的方法
選中之前過濾出的第二條,跟蹤tcp流
解碼後16進制如下
搜索
可以看到是一個avi格式的文件
我們看看直接使用info_hash進行過濾會不會找到其他的torrent文件
將sha1 hash這一行選中-》右鍵-》copy->…as a hex stream
然後搜索,發現還是ubuntu那個鏡像文件
要快速查看其他的,可以將這一行應用爲列,然後佈局如下圖所示
然後進行分析。
至此,我們已經解答了所有的問題
答案如下:
IP地址: 10.0.0.201
MAC地址:00:16:17:18:66:c8 (Msi_18:66:c8)
Host name: BLANCO-DESKTOP
Windows user account name: elmer.blanco
系統版本: Windows 10
torrenrt活動開始時間: S2018-07-15 at 04:17 UTC
10.0.0.201下載的Torrent 文件:
Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
Torrent客戶端: Deluge version 1.3.15
被做種(共享)的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash
e4be9e4db876e3e3179778b03e906297be5c8dbe)
。