某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。
客户提供的信息如下:
通过流量分析找到如下信息:
1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等
2.确定感染的主机上的恶意软件类型,或提取出样本
3.找到恶意软件是如何感染到主机上的
4.找到感染前沦陷主机到底做了什么
WireShark打开用户发给我们的流量包
这里直接过滤HTTPS包和HTTP包,得到如下结果
HTTPS包
HTTP包
根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:
根据流量包,得出用户主机的一些信息
IP:10.18.21.163
MAC地址:10:c3:7b:0a:f2:85
主机名:DESKTOP-OF4FE8A
鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从 *** 上下载,查找所有的Get请求流量
使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:
2020-08-21 15:04:24
和IP 45.12.4.190的通信中传递了一个PE文件。
我们把这个包中传输的文件导出,获取HASH,在virustotal上查询
发现是一个后台木马,不同的引擎对其特征警告如下
由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6 *** 下载了一个木马
4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。
4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名
ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou
其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP
10.18.21.163、10.8.21.8
a.主机的IP地址被映射到pizza-bender.com的子域名
b.存在木马的主机和89.44.9.186有大量https通信
2020-08-21 15:04:24
主机10.18.21.163通过域名ncznw6 *** 下载了一个名为ranec11.cab的木马后门
2020-08-21 15:07:03
主机10.18.21.163和客户端(IP:89.44.9.186)开始通信
你曾想过要黑掉某一人的网站、QQ、新浪微博帐户麽?立即毁坏他应用的互联网怎样?想一想就有点儿小兴奋呢!这些,自身不容易黑客技术性该怎么办?黑客技术性不清楚哪家好该怎么办?如今这儿就有一个机遇,能够给...
经常有人给小编留言如果冲动时删除了微信好友还有什么办法能恢复吗?其实不管在现实生活还是网络虚拟里都会因为话不投机、冲动等原因而去主动删除拉黑好友,现实中可能直接去找他就可以了,那么在微信中如果删除了微...
360老总周鸿今日在接纳腾讯科技访谈时表露,在前不久酷派与360的纠纷案件中,360不但得到 了酷派出让的25.5%奇酷股份,还得到 了一只来源于酷派的超出300人精英团队适用。 先前,360斥责酷...
魔兽世界怀旧服闪耀徽章哪里出?许多玩家都很想知道,接下来为大家带来魔兽世界怀旧服闪耀徽章获得方法介绍,希望能够帮助到大家。 魔兽世界怀旧服闪耀徽章哪里出 1、魔兽世界怀旧服之中,闪耀徽章是一个...
本文导读目录: 1、谁有黑客帝国2的在线观看网址 2、黑客帝国2:重装上阵完整版电影 3、黑客帝国2:重装上阵高清完整版电影 4、黑客帝国2 . 3 在哪能 免费观看 全集啊 最好是高清...
2019秋冬男士呢子大衣颜色搭配都有哪些技巧?学会穿搭技巧,不仅能有效的提升自己的颜值,还能给人一种良好的在外形象。那么,秋冬季节男士呢子大衣,该怎么穿搭才不容易出错呢?以下几点告诉你!⬇ ❤灰...