一次恶意流量分析实战实例

访客4年前关于黑客接单1133

0x0 事件简述

某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。

客户提供的信息如下:

  • LAN segment range: 10.08.21.0/24 (10.08.21.0 through 10.08.21.255)
  • Domain: tecsolutions.info
  • Domain controller: 10.08.21.8 - Pizza-Bender-DC
  • LAN segment gateway: 10.08.21.1
  • LAN segment broadcast address: 10.08.21.255

0x1 分析目的

通过流量分析找到如下信息:

1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等

2.确定感染的主机上的恶意软件类型,或提取出样本

3.找到恶意软件是如何感染到主机上的

4.找到感染前沦陷主机到底做了什么

0x2 分析过程

WireShark打开用户发给我们的流量包

1.找到沦陷主机

这里直接过滤HTTPS包和HTTP包,得到如下结果

HTTPS包

HTTP包

根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:

根据流量包,得出用户主机的一些信息

IP:10.18.21.163

MAC地址:10:c3:7b:0a:f2:85

主机名:DESKTOP-OF4FE8A

2.找到该主机上的样本

鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从 *** 上下载,查找所有的Get请求流量

使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:

2020-08-21 15:04:24

和IP 45.12.4.190的通信中传递了一个PE文件。

我们把这个包中传输的文件导出,获取HASH,在virustotal上查询

发现是一个后台木马,不同的引擎对其特征警告如下

3.找到恶意软件是如何感染到主机上的

由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6 *** 下载了一个木马

4.识别木马感染特征

4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。

4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名

ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou

其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP

0x3 事件总结

1.感染主机:

10.18.21.163、10.8.21.8

2.感染特征:

a.主机的IP地址被映射到pizza-bender.com的子域名

b.存在木马的主机和89.44.9.186有大量https通信

3.感染过程:

2020-08-21 15:04:24

主机10.18.21.163通过域名ncznw6 *** 下载了一个名为ranec11.cab的木马后门

2020-08-21 15:07:03

主机10.18.21.163和客户端(IP:89.44.9.186)开始通信

相关文章

明日黄花是什么意思(昨日黄花和明日黄花分别

明日黄花是什么意思(昨日黄花和明日黄花分别

我们时常听人说,XX事物已经过时了,是昨日黄花了。又有人说,你看那个女人,年轻时多好看啊,现在也老了,是明日黄花了。 这就让人感到奇怪,怎么这两个词长得这么像,“昨日黄花”和“明日黄花”到底是什么意...

手机word空白页怎么清除

1、开启Microsoft word。2、挑选文本文档进入页面。3、点一下顶端的签字笔标志。4、然后点一下空白的起止处。5、挑选删掉就可以。 知名品牌型号规格:华为公司P40 系统软件:EMUI11....

百度推出飓风算法,专业治理恶劣采集!

百度推出飓风算法,专业治理恶劣采集!

昨天在百度站长平台中看到百度推出的飓风算法,这次主要针对恶意采集。当然是针对采集,不是针对抄袭或者投稿。不过如果过分的抄袭,那么可能和采集判一样的刑! 对于我们站长博客来讲,最希望就是百度打开原...

中国最牛的电脑黑客是谁

我觉得是万涛(每个人看法不同),万涛是黑客教父,曾参加过第一次中美黑客大战,是鹰盟的创始人 中国十大黑客排名NO.10网名:冰雪封情、NO.9网名:中华特攻(KingXer)、NO.8网名:冰叶、NO...

网页版VR全景看meinv,来自岛国产经新闻

日本产经新闻,公布热点新闻、突发事件等,新闻配图接纳VR全景形式, VR全景有许多优势,更能让人身临其境的领会现场的情形。 有几个主题对照养眼,亵服展示和meinvxiezhen, 让漂亮妹子围...

中印边界问题的历史渊源是什么?印度为何又越界挑起边界冲突?

在我国是全世界与他国国土交界数最多的我国,与14个我国的陆上国土交界,东面有北朝鲜和乌克兰,北部是蒙古族、乌克兰和白俄罗斯,西面是吉尔吉斯斯坦、乌兹别克斯坦、阿富汗、塔吉克斯坦、印尼、缅甸和不丹,南面...