通過該實驗瞭解惡意流量取證分析基本方法,本次實驗主要涉及:Upatre,Dyre,SSL證書、STUN流量、mx記錄等。
爲了得到host name,先直接過濾出nbns看看
當然是用dhcp也是可以的,爲了過濾出dhcp可以通過端口指定爲udp67過濾也可以通過bootp過濾
我們這裏通過端口過濾
接下來過濾出http請求看看
注意到一些http流量並不是標準端口,並且有些不太正常的get請求
參考給出的告警日誌
主要是兩個關鍵字,一個是Upatre,一個是Dyre
搜索引擎搜索看看
。
通過查看思科Talos團隊的分析文章https://blog.talosintelligence.com/2015/04/threat-spotlight-upatre-say-no-to.html
我們得知Upatre發起的HTTP GET請求的user agent是僞造的並且經常更換以僞造成不同的瀏覽器,同時非常規範,可以以此來躲避一些檢測,我們可以看看這次給的數據包中的情況
對照着告警日誌中的目的ip爲104.238.141.75,即第二條
在wireshark中選擇對應的流量跟蹤tcp流
從上圖的user agent可以看出在這個例子裏模仿的是firefox 36.0,這與我們在Talos的文章中看到的user agent是一樣的
接下來看看GET比較奇怪的流量,先看第三條
跟蹤其tcp流
我們來分析一下GET的組成,WY22可能是一次攻擊行動的代號,PWNDRINE-PC是主機名,61-SP1代表着操作系統,爲Windows7(NT 6.1)Service Pack1
繼續看這條下載了tar壓縮文件的
將其目的ip與告警日誌對應
可以看到這是Dyre在下載額外的payload
跟蹤tcp流
我們注意到告警日誌還有ssl證書,所以可以嘗試在wireshark中過濾出看看
我們注意到上圖中country,state,locality,organization name等都是無意義的隨機字符,這是一個異常的地方
在這篇文章中也之處,Dyre會使用自己的ssl證書
與我們分析出的流量符合
而通過這篇trendmicro的技術分析文章:https://blog.trendmicro.com/trendlabs-security-intelligence/a-closer-look-at-dyre-malware-part-1/
我們可以知道,Dyre常常會有STUN流量
STUN比較不常見,簡單介紹下:STUN,首先在RFC3489中定義,作爲一個完整的NAT穿透解決方案,英文全稱是Simple Traversal of UDP Through NATs,即簡單的用UDP穿透NAT。如果它位於進行網絡地址轉換NAT的網絡中,這是一種終端主機發現其公共IP地址的方法。這是應用實時語音,視頻和其他消息服務來發現其公共IP地址或在互聯網上公開顯示的IP地址的常用方法。網絡犯罪分子使用此方法準確瞭解其惡意軟件的位置(並可能知道誰正在嘗試運行它)。
可以使用下圖的命令過濾
既然涉及了dns,我們繼續看看dns還查詢了哪些可疑的
在上圖中注意到查詢了docs233.com的mx記錄
這裏簡單介紹下mx記錄
郵件交換記錄(MX record)是域名系統(DNS)中的一種資源記錄類型,用於指定負責處理髮往收件人域名的郵件服務器。 MX記錄允許設置一個優先級,當多個郵件服務器可用時,會根據該值決定投遞郵件的服務器。 簡單郵件傳輸協議(SMTP)會根據MX記錄的值來決定郵件的路由過程。
查詢這個域名看看
在ThrearMiner上看到了相關信息
在頁面中看到捕捉到的很多惡意軟件樣本都與這個域名有關
在dns query後會有response,其中帶有ip
我們可以看看數據包中是否有該ip相關的流量
可以看到是一些嘗試連接到該服務器的syn包,目的端口分別是25,465,587