惡意流量分析訓練十一

原創 Neil-Yale 2020-02-26 04:19

通過該實驗瞭解惡意流量取證分析方法,主要涉及torrent流量的知識,包括tracer,bittorrent,Deluge等。

 

 

背景:

你收到網絡上10.0.0.201的bittorrent流量警報。 Torrent流量通常與受版權保護的內容的文件共享相關聯;當然,也有一些torrent流量是合法的。

我們需要分析分析這個數據包,解答下列問題:

10.0.0.201的mac地址是多少

10.0.0.201的host name是什麼

10.0.0.201的user  account name是什麼

10.0.0.201的系統版本

10.0.0.201de torrent活動發生的時間

10.0.0.201下載了什麼torrent文件

10.0.0.201使用了那個torrent客戶端

10.0.0.201上的torrent客戶端分享了哪個文件(做種)?

 

首先還是過濾出nbns的流量,來獲取hostname

當然,也可以使用dhcp

接下來要找到user account name,自然是通過kerberos協議

kerberos.CNameString中CNameString代表windows的host name和user account name,那麼怎麼區分這兩個呢?

我們先把它過濾出來再看

按照上圖的方式依次展開,然後就能看到CNameString的值,右鍵,將其應用爲列

可以看多了一列

其中以$結尾的是host name ,沒有以$結尾的是user account name

 

接下來要確定windows的版本號

最簡單也是最常用的方法就是通過user agent來判斷

我們過濾出相應的流量

選中第一條,右鍵跟蹤tcp流

將user agent複製出來,在這裏進行解析

https://developers.whatismybrowser.com/useragents/parse/#parse-useragent

從結果中可以看到這是64位的win10

 

 

給我們的背景是說有torrent 流量,需要我們分析出發生的時間

我們使用bittorrent過濾

從上圖可以看到發生的時間

 

 

我們知道文件擴展名爲.torrent的文件包含引導torrent客戶端使用bittorrent協議檢索文件的信息。那麼10.0.0.201下載了什麼.torrent文件呢?我們可以在url裏過濾出對應的字符串

可以看到只有一條對應的流量

跟蹤tcp流

可以看到文件名爲Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

那麼其他的torrent流量呢?torrent流量還會涉及其他關鍵字,比如announce,scrape等

同樣過濾出來

從host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的

選中第一條跟蹤tcp流

在user agent中看到Deluge 1.3.15

 

 

 

Deluge是什麼?

可以知道它是一個torrent客戶端

那麼抓到的流量究竟在tracking什麼東西ine?

我們可以根據info_hash值來判斷

在http get請求中,我們可以看到info_hash和peer_id

這裏的值是編碼過的,我們將其解碼

可以使用這個網站https://www.asciitohex.com/

將其輸入

點擊convert

得到其16進制

然後進行搜索

可以看到是一個ubuntu 18.04的iso文件,文件名爲ubuntu-18.04-desktop-and64.iso

針對其他的流量也使用同樣的方法

選中之前過濾出的第二條,跟蹤tcp流

解碼後16進制如下

搜索

可以看到是一個avi格式的文件

 

 

我們看看直接使用info_hash進行過濾會不會找到其他的torrent文件

將sha1 hash這一行選中-》右鍵-》copy->…as a hex stream

然後搜索,發現還是ubuntu那個鏡像文件

要快速查看其他的,可以將這一行應用爲列,然後佈局如下圖所示

然後進行分析。

至此,我們已經解答了所有的問題

答案如下:

IP地址: 10.0.0.201

MAC地址:00:16:17:18:66:c8 (Msi_18:66:c8)

Host name: BLANCO-DESKTOP

Windows user account name: elmer.blanco

系統版本: Windows 10

torrenrt活動開始時間: S2018-07-15 at 04:17 UTC

10.0.0.201下載的Torrent 文件:

Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

Torrent客戶端: Deluge version 1.3.15

被做種(共享)的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash

e4be9e4db876e3e3179778b03e906297be5c8dbe)

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

惡意流量分析訓練五

通過該實驗瞭解惡意流量分析的基本技能,本次實驗涉及包括:從數據包導出文件,hash計算、virurtotal使用、trickbot惡意軟件,bootp,kerberos等。       本次任務需要你查出主機受感染的時間、主機的信息(ip

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練七

通過該實驗學會分析eml文件並從中提取出附件進行分析,包括根據生成的hash進行搜索等,掌握wireshark的關鍵過濾語法包括過濾tcp syn包、過濾重傳包、過濾dns query包等,有意識培養取證分析的思維和思路。   根據本次實

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練十

通過該實驗瞭解惡意流量取證分析基本方法,本次實驗主要涉及:Upatre,Dyre,SSL證書、STUN流量、mx記錄等。 爲了得到host name,先直接過濾出nbns看看 當然是用dhcp也是可以的,爲了過濾出dhcp可以通過端口指

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練一

通過該實驗使用wireshark進行惡意流量分析,主要涉及知識點包括IOC,鍵盤記錄器木馬,ftp協議等。     場景: 局域網段範圍:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.

Neil-Yale 2020-06-22 05:26:36

惡意流量分析訓練四

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練六

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練二

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練八

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練三

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練九

Neil-Yale 2020-02-26 04:19:55

惡意流量分析訓練五

通過該實驗瞭解惡意流量分析的基本技能,本次實驗涉及包括:從數據包導出文件,hash計算、virurtotal使用、trickbot惡意軟件,bootp,kerberos等。       本次任務需要你查出主機受感染的時間、主機的信息(ip

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練七

通過該實驗學會分析eml文件並從中提取出附件進行分析,包括根據生成的hash進行搜索等,掌握wireshark的關鍵過濾語法包括過濾tcp syn包、過濾重傳包、過濾dns query包等,有意識培養取證分析的思維和思路。   根據本次實

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練十

通過該實驗瞭解惡意流量取證分析基本方法,本次實驗主要涉及:Upatre,Dyre,SSL證書、STUN流量、mx記錄等。 爲了得到host name,先直接過濾出nbns看看 當然是用dhcp也是可以的,爲了過濾出dhcp可以通過端口指

Neil-Yale 2020-06-22 05:26:37

惡意流量分析訓練一

通過該實驗使用wireshark進行惡意流量分析,主要涉及知識點包括IOC,鍵盤記錄器木馬,ftp協議等。     場景: 局域網段範圍:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.

Neil-Yale 2020-06-22 05:26:36

惡意流量分析訓練四

Neil-Yale 2020-02-26 04:19:55