惡意流量分析訓練五

通過該實驗瞭解惡意流量分析的基本技能，本次實驗涉及包括：從數據包導出文件，hash計算、virurtotal使用、trickbot惡意軟件，bootp，kerberos等。

 

 

 

本次任務需要你查出主機受感染的時間、主機的信息（ip，mac，hostname ,user account name），感染什麼類型的惡意軟件，感染源，受感染的指標（ip,域名，端口，url，文件hash等）

 

前面的分析經驗告訴我們，首先看http,https的流量，基本大多數的攻擊流程都是通過網頁掛馬或者釣魚之類的活動誘使受害者主機有意或無意地下載惡意軟件，然後在主機上打開其他端口通信或者僞裝爲正常瀏覽通信，或者通過dhcp,icmp等隧道通信。不論怎樣，最開始的步驟 一定是和http,https有關的，所以先過濾出對應的流量。

 

在上圖中可以看到第二條通過http get方式獲取到惡意二進制程序

第三條流量是使用myexternal.com網站查詢出口ip

第二個框起來的就是在tcp 447 449端口上的加密通訊流量，我們可以嘗試將其作爲ssl解密，具體步驟如下：

選擇analyze->decode as

點擊左下角加號

每個列都可以雙擊後選擇所需的配置

配置如下所示，然後點擊ok

 

 

前面提到通過http get方式拿到了惡意二進制文件，我們可以嘗試將其導出

file->export->http

選中可以的後綴爲bin的二進制程序

 

點擊save即可保存

 

 

 

我們首先看看這個文件是什麼類型的

然後我們可以通過計算它的sha256哈希去virustotal看看這是否是可疑文件

打開virustotal

search然後在輸入框中輸入hash值

點擊右邊的放大鏡搜索

搜索結果如下

從下面的comment可以看出這可能是trickbot惡意軟件

接下來我們看看是什麼時候從哪兒感染的trickbot

可以看到書2018-04-10的晚上8點14分通過http請求，從caveaudeleteatro.it獲取惡意文件感染的

 

 

 

 

我們統計下流量，statistics->ipv4 statics->all address

如下圖所示

可以看到流量基本都是與10.10.10.209有關

接下來我們需要得到的是其mac和hostname

mac很容易拿到，隨便選中一條10.10.10.209的流量就能看到

接下來要找hostname，經過前面幾次流量分析訓練，找hostname應該也不難了，可以使用dhcp看看

這裏注意，dhcp前身是bootp，直接在wireshark中使用dhcp過濾可能無效，我們使用bootp就行了

這樣就能找到hostname了

過濾出dhcp還有一種方法，就是通過端口過濾

dhcp的端口是udp 67和udp 68

同樣拿到了hostname

其實我們注意到數據包中還有nbns流量，所以可以嘗試使用nbns來獲取hostname，直接使用nbns過濾即可

接下來我們要找到賬戶名，這裏注意，賬戶名是指user account name,有hostname沒有任何關係，可能相同，可能不同

既然前面我們知道了又nbns的流量，nbns全稱是netbios name service，是netbios的流量，這是windows下特有的，所以我們可以知道現在分析的是windows的環境，既然是windows環境下，讓我們找user account name,我們之前學過兩種方法，一種是看http，一種是看kerberos，我們試試kerberos行不行

注意，我上圖的語法只適用於2.x的版本，如果不是2.x的版本請使用這條命令

ip.addr eq 10.10.10.209 and Kerberos.cname_element and kerberos.KernerosString and !(kerberos.KerberosString contains $)

要查看自己的wireshark的版本號可以help->wireshark

可以看到我的版本是2.x的

所以現在總結下我們的回答：

ip:10.10.10.209

mac地址：00:30:67:fa:2d:63

hostname:batiste-pc

user account name:winford.batiste

 

indicators(指標)：
95.110.193.132-80端口- caveaudelteatro.ot -GET /ser0410.bin-獲取Trickbot 二進制文件

78.47.139.132-80端口-myexternalip.com-GET /raw –受感染主機查找自身出口ip

82.214.141.134-449端口—TrickBot產生的SSL/TLS 流量

82.61.160.50-447端口-rickBot產生的SSL/TLS 流量

 

SHA256 Hash: c2c1e2c22f67dda6553cbcc173694b68677b77319243684925e8dc3f78b3dbf8

 

文件大小：1.4M

文件描述：從caveaudelteatro.ot 下載的trickbot二進制文件

1. 1. 1. 1. 1. 1. 1.