通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。
为了得到host name,先直接过滤出nbns看看
当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤
我们这里通过端口过滤
接下来过滤出http请求看看
注意到一些http流量并不是标准端口,并且有些不太正常的get请求
参考给出的告警日志
主要是两个关键字,一个是Upatre,一个是Dyre
搜索引擎搜索看看
。
通过查看思科Talos团队的分析文章https://blog.talosintelligence.com/2015/04/threat-spotlight-upatre-say-no-to.html
我们得知Upatre发起的HTTP GET请求的user agent是伪造的并且经常更换以伪造成不同的浏览器,同时非常规范,可以以此来躲避一些检测,我们可以看看这次给的数据包中的情况
对照着告警日志中的目的ip为104.238.141.75,即第二条
在wireshark中选择对应的流量跟踪tcp流
从上图的user agent可以看出在这个例子里模仿的是firefox 36.0,这与我们在Talos的文章中看到的user agent是一样的
接下来看看GET比较奇怪的流量,先看第三条
跟踪其tcp流
我们来分析一下GET的组成,WY22可能是一次攻击行动的代号,PWNDRINE-PC是主机名,61-SP1代表着操作系统,为Windows7(NT 6.1)Service Pack1
继续看这条下载了tar压缩文件的
将其目的ip与告警日志对应
可以看到这是Dyre在下载额外的payload
跟踪tcp流
我们注意到告警日志还有ssl证书,所以可以尝试在wireshark中过滤出看看
我们注意到上图中country,state,locality,organization name等都是无意义的随机字符,这是一个异常的地方
在这篇文章中也之处,Dyre会使用自己的ssl证书
与我们分析出的流量符合
而通过这篇trendmicro的技术分析文章:https://blog.trendmicro.com/trendlabs-security-intelligence/a-closer-look-at-dyre-malware-part-1/
我们可以知道,Dyre常常会有STUN流量
STUN比较不常见,简单介绍下:STUN,首先在RFC3489中定义,作为一个完整的NAT穿透解决方案,英文全称是Simple Traversal of UDP Through NATs,即简单的用UDP穿透NAT。如果它位于进行网络地址转换NAT的网络中,这是一种终端主机发现其公共IP地址的方法。这是应用实时语音,视频和其他消息服务来发现其公共IP地址或在互联网上公开显示的IP地址的常用方法。网络犯罪分子使用此方法准确了解其恶意软件的位置(并可能知道谁正在尝试运行它)。
可以使用下图的命令过滤
既然涉及了dns,我们继续看看dns还查询了哪些可疑的
在上图中注意到查询了docs233.com的mx记录
这里简单介绍下mx记录
邮件交换记录(MX record)是域名系统(DNS)中的一种资源记录类型,用于指定负责处理发往收件人域名的邮件服务器。 MX记录允许设置一个优先级,当多个邮件服务器可用时,会根据该值决定投递邮件的服务器。 简单邮件传输协议(SMTP)会根据MX记录的值来决定邮件的路由过程。
查询这个域名看看
在ThrearMiner上看到了相关信息
在页面中看到捕捉到的很多恶意软件样本都与这个域名有关
在dns query后会有response,其中带有ip
我们可以看看数据包中是否有该ip相关的流量
可以看到是一些尝试连接到该服务器的syn包,目的端口分别是25,465,587