一次恶意流量分析实战实例

访客4年前关于黑客接单1132

0x0 事件简述

某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。

客户提供的信息如下:

  • LAN segment range: 10.08.21.0/24 (10.08.21.0 through 10.08.21.255)
  • Domain: tecsolutions.info
  • Domain controller: 10.08.21.8 - Pizza-Bender-DC
  • LAN segment gateway: 10.08.21.1
  • LAN segment broadcast address: 10.08.21.255

0x1 分析目的

通过流量分析找到如下信息:

1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等

2.确定感染的主机上的恶意软件类型,或提取出样本

3.找到恶意软件是如何感染到主机上的

4.找到感染前沦陷主机到底做了什么

0x2 分析过程

WireShark打开用户发给我们的流量包

1.找到沦陷主机

这里直接过滤HTTPS包和HTTP包,得到如下结果

HTTPS包

HTTP包

根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:

根据流量包,得出用户主机的一些信息

IP:10.18.21.163

MAC地址:10:c3:7b:0a:f2:85

主机名:DESKTOP-OF4FE8A

2.找到该主机上的样本

鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从 *** 上下载,查找所有的Get请求流量

使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:

2020-08-21 15:04:24

和IP 45.12.4.190的通信中传递了一个PE文件。

我们把这个包中传输的文件导出,获取HASH,在virustotal上查询

发现是一个后台木马,不同的引擎对其特征警告如下

3.找到恶意软件是如何感染到主机上的

由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6 *** 下载了一个木马

4.识别木马感染特征

4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。

4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名

ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou

其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP

0x3 事件总结

1.感染主机:

10.18.21.163、10.8.21.8

2.感染特征:

a.主机的IP地址被映射到pizza-bender.com的子域名

b.存在木马的主机和89.44.9.186有大量https通信

3.感染过程:

2020-08-21 15:04:24

主机10.18.21.163通过域名ncznw6 *** 下载了一个名为ranec11.cab的木马后门

2020-08-21 15:07:03

主机10.18.21.163和客户端(IP:89.44.9.186)开始通信

相关文章

蚂蚁庄园5月8日答案 哪种水果中的脂肪含量比一般瘦肉还高

蚂蚁庄园5月8日答案 哪种水果中的脂肪含量比一般瘦肉还高

以下哪种水果中的脂肪含量比一般瘦肉还高?以上是蚂蚁庄园5月8日的问题,答对可以领取官方提供的每天一份的180g小鸡饲料。接下来就让我们一起了解一下以下选项中,哪种生物的生命力更强吧。 推荐阅读:...

ps色彩平衡在哪

ps色相饱和度在图象的调节选择项里。开启ps,导进素材图片,点一下图象,调节,色相饱和度,调节各类标值,明确就可以。 知名品牌型号规格:想到GeekPro 2020 系统软件:win10 1909 6...

国家卫健委:20日新增确诊病例12例 均为境外输入

据国家卫健委网站21日消息,9月20日0—24时,31个省(自治区、直辖市)和新疆生产建设兵团报告新增确诊病例12例,均为境外输入病例(广东3例,内蒙古2例,上海2例,云南2例,陕西2例,福建1例);...

石头城是什么城市?南京的前身竟然叫石头城?

石头城是什么城市?南京的前身竟然叫石头城?

欢迎来到无尾象和猫的旅行探险事务所,让我们一起去发现世界上那些不为人知的小众旅行故事和风味不同的当地美食。   南京城西,挨着外秦淮河。有一座连很多本地人都不知道的石头城。和南京其它的古迹不一样,...

黑客入侵手机会出现什么现象(黑客入侵手机会怎么样)

黑客入侵手机会出现什么现象(黑客入侵手机会怎么样)

手机被黑客入侵的表现 1、应用程序的行为异常:应用程序可能会开始崩溃或者出现其他异常行为,这可能是由于黑客利用漏洞攻击了这些应用程序。电池寿命显著缩短:如果您的手机电池寿命突然显著缩短,这可能是因为恶...

北京伴游女联系电话,经纪人手机微信【周光琴】

北京伴游女联系电话,经纪人手机微信【周光琴】 今日给大伙儿共享的內容是“北京伴游女联系电话,经纪人手机微信【周光琴】”,我是周光琴,来源于苏州,2020年22岁,做为岗位:深圳市高档陪游经纪人,我喜爱...