某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。
客户提供的信息如下:
通过流量分析找到如下信息:
1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等
2.确定感染的主机上的恶意软件类型,或提取出样本
3.找到恶意软件是如何感染到主机上的
4.找到感染前沦陷主机到底做了什么
WireShark打开用户发给我们的流量包
这里直接过滤HTTPS包和HTTP包,得到如下结果
HTTPS包
HTTP包
根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:
根据流量包,得出用户主机的一些信息
IP:10.18.21.163
MAC地址:10:c3:7b:0a:f2:85
主机名:DESKTOP-OF4FE8A
鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从 *** 上下载,查找所有的Get请求流量
使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:
2020-08-21 15:04:24
和IP 45.12.4.190的通信中传递了一个PE文件。
我们把这个包中传输的文件导出,获取HASH,在virustotal上查询
发现是一个后台木马,不同的引擎对其特征警告如下
由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6 *** 下载了一个木马
4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。
4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名
ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou
其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP
10.18.21.163、10.8.21.8
a.主机的IP地址被映射到pizza-bender.com的子域名
b.存在木马的主机和89.44.9.186有大量https通信
2020-08-21 15:04:24
主机10.18.21.163通过域名ncznw6 *** 下载了一个名为ranec11.cab的木马后门
2020-08-21 15:07:03
主机10.18.21.163和客户端(IP:89.44.9.186)开始通信
我们时常听人说,XX事物已经过时了,是昨日黄花了。又有人说,你看那个女人,年轻时多好看啊,现在也老了,是明日黄花了。 这就让人感到奇怪,怎么这两个词长得这么像,“昨日黄花”和“明日黄花”到底是什么意...
1、开启Microsoft word。2、挑选文本文档进入页面。3、点一下顶端的签字笔标志。4、然后点一下空白的起止处。5、挑选删掉就可以。 知名品牌型号规格:华为公司P40 系统软件:EMUI11....
昨天在百度站长平台中看到百度推出的飓风算法,这次主要针对恶意采集。当然是针对采集,不是针对抄袭或者投稿。不过如果过分的抄袭,那么可能和采集判一样的刑! 对于我们站长博客来讲,最希望就是百度打开原...
我觉得是万涛(每个人看法不同),万涛是黑客教父,曾参加过第一次中美黑客大战,是鹰盟的创始人 中国十大黑客排名NO.10网名:冰雪封情、NO.9网名:中华特攻(KingXer)、NO.8网名:冰叶、NO...
日本产经新闻,公布热点新闻、突发事件等,新闻配图接纳VR全景形式, VR全景有许多优势,更能让人身临其境的领会现场的情形。 有几个主题对照养眼,亵服展示和meinvxiezhen, 让漂亮妹子围...
在我国是全世界与他国国土交界数最多的我国,与14个我国的陆上国土交界,东面有北朝鲜和乌克兰,北部是蒙古族、乌克兰和白俄罗斯,西面是吉尔吉斯斯坦、乌兹别克斯坦、阿富汗、塔吉克斯坦、印尼、缅甸和不丹,南面...