恶意流量分析训练五

通过该实验了解恶意流量分析的基本技能，本次实验涉及包括：从数据包导出文件，hash计算、virurtotal使用、trickbot恶意软件，bootp，kerberos等。

 

 

 

本次任务需要你查出主机受感染的时间、主机的信息（ip，mac，hostname ,user account name），感染什么类型的恶意软件，感染源，受感染的指标（ip,域名，端口，url，文件hash等）

 

前面的分析经验告诉我们，首先看http,https的流量，基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件，然后在主机上打开其他端口通信或者伪装为正常浏览通信，或者通过dhcp,icmp等隧道通信。不论怎样，最开始的步骤 一定是和http,https有关的，所以先过滤出对应的流量。

 

在上图中可以看到第二条通过http get方式获取到恶意二进制程序

第三条流量是使用myexternal.com网站查询出口ip

第二个框起来的就是在tcp 447 449端口上的加密通讯流量，我们可以尝试将其作为ssl解密，具体步骤如下：

选择analyze->decode as

点击左下角加号

每个列都可以双击后选择所需的配置

配置如下所示，然后点击ok

 

 

前面提到通过http get方式拿到了恶意二进制文件，我们可以尝试将其导出

file->export->http

选中可以的后缀为bin的二进制程序

 

点击save即可保存

 

 

 

我们首先看看这个文件是什么类型的

然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件

打开virustotal

search然后在输入框中输入hash值

点击右边的放大镜搜索

搜索结果如下

从下面的comment可以看出这可能是trickbot恶意软件

接下来我们看看是什么时候从哪儿感染的trickbot

可以看到书2018-04-10的晚上8点14分通过http请求，从caveaudeleteatro.it获取恶意文件感染的

 

 

 

 

我们统计下流量，statistics->ipv4 statics->all address

如下图所示

可以看到流量基本都是与10.10.10.209有关

接下来我们需要得到的是其mac和hostname

mac很容易拿到，随便选中一条10.10.10.209的流量就能看到

接下来要找hostname，经过前面几次流量分析训练，找hostname应该也不难了，可以使用dhcp看看

这里注意，dhcp前身是bootp，直接在wireshark中使用dhcp过滤可能无效，我们使用bootp就行了

这样就能找到hostname了

过滤出dhcp还有一种方法，就是通过端口过滤

dhcp的端口是udp 67和udp 68

同样拿到了hostname

其实我们注意到数据包中还有nbns流量，所以可以尝试使用nbns来获取hostname，直接使用nbns过滤即可

接下来我们要找到账户名，这里注意，账户名是指user account name,有hostname没有任何关系，可能相同，可能不同

既然前面我们知道了又nbns的流量，nbns全称是netbios name service，是netbios的流量，这是windows下特有的，所以我们可以知道现在分析的是windows的环境，既然是windows环境下，让我们找user account name,我们之前学过两种方法，一种是看http，一种是看kerberos，我们试试kerberos行不行

注意，我上图的语法只适用于2.x的版本，如果不是2.x的版本请使用这条命令

ip.addr eq 10.10.10.209 and Kerberos.cname_element and kerberos.KernerosString and !(kerberos.KerberosString contains $)

要查看自己的wireshark的版本号可以help->wireshark

可以看到我的版本是2.x的

所以现在总结下我们的回答：

ip:10.10.10.209

mac地址：00:30:67:fa:2d:63

hostname:batiste-pc

user account name:winford.batiste

 

indicators(指标)：
95.110.193.132-80端口- caveaudelteatro.ot -GET /ser0410.bin-获取Trickbot 二进制文件

78.47.139.132-80端口-myexternalip.com-GET /raw –受感染主机查找自身出口ip

82.214.141.134-449端口—TrickBot产生的SSL/TLS 流量

82.61.160.50-447端口-rickBot产生的SSL/TLS 流量

 

SHA256 Hash: c2c1e2c22f67dda6553cbcc173694b68677b77319243684925e8dc3f78b3dbf8

 

文件大小：1.4M

文件描述：从caveaudelteatro.ot 下载的trickbot二进制文件

1. 1. 1. 1. 1. 1. 1.