某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。
客户提供的信息如下:
通过流量分析找到如下信息:
1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等
2.确定感染的主机上的恶意软件类型,或提取出样本
3.找到恶意软件是如何感染到主机上的
4.找到感染前沦陷主机到底做了什么
WireShark打开用户发给我们的流量包
这里直接过滤HTTPS包和HTTP包,得到如下结果
HTTPS包
HTTP包
根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:
根据流量包,得出用户主机的一些信息
IP:10.18.21.163
MAC地址:10:c3:7b:0a:f2:85
主机名:DESKTOP-OF4FE8A
鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从 *** 上下载,查找所有的Get请求流量
使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:
2020-08-21 15:04:24
和IP 45.12.4.190的通信中传递了一个PE文件。
我们把这个包中传输的文件导出,获取HASH,在virustotal上查询
发现是一个后台木马,不同的引擎对其特征警告如下
由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6 *** 下载了一个木马
4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。
4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名
ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou
其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP
10.18.21.163、10.8.21.8
a.主机的IP地址被映射到pizza-bender.com的子域名
b.存在木马的主机和89.44.9.186有大量https通信
2020-08-21 15:04:24
主机10.18.21.163通过域名ncznw6 *** 下载了一个名为ranec11.cab的木马后门
2020-08-21 15:07:03
主机10.18.21.163和客户端(IP:89.44.9.186)开始通信
本文目录一览: 1、世界上大名鼎鼎的黑客都做过哪些让人非常震惊的事情? 2、“一夜走红”的中国黑客,把中国国旗插在白宫网站上,后来怎样了? 3、好看的黑客电影排行 4、支付宝真的安全吗?顶...
一、电影大全黑客接单流程 1、找接单黑客大多数黑客文化在帮助工厂办公室和大学的正常运作方面起着重要的作用。电影大全技术网站下载黑客不干涉政治,不利用他们来促进计算机和网络的发展和改进。儿子坑爹电影大全...
以微信7.0.19为例子,截至2020年10月29日,手机微信都还没定时发送信息的作用,因此 不可以开展设定。客户如果有必须,能够根据微信小程序或是别的方式来完成。 手机微信(WeChat)...
电工基础知识pdf免费下载(电工基础知识电子书下载) 《电工基础》是建立在基础上的,但是内容繁多复杂,容易让人无从下手,甚至知之甚少。其实我和你的感受是一样的,但是随着脚踏实地一步一步的学习,经...
本文导读目录: 1、世界十大黑客分别是谁? 2、世界排名前三的黑客是谁? 3、世界黑客排名是怎样的? 4、世界黑客排名? 5、史上最有影响力的黑客是谁 ?? 世界十大黑客分别是谁?...
巴宝莉香水一直以其雅致高雅的风采在国际性淡香水销售市场占有关键影响力,那麼巴宝莉香水怎样分辨真假呢?巴宝莉香水如何选? 如何辨别巴宝莉香水的真伪 淡香水的色调 高质量的淡香水应该...