该笔记仅自己用于记录学习内容,网络渗透知识基本为0。望大佬轻喷。该练习参考https://unit630.com/2020/08/23/malware-traffic-analysis-exercise-1/ 首先打开提供的PACP包,可以看到以下内容。我们可以看到有大量不同协议请求的流量包。
我们如果想要直接通过肉眼观察流量包找到被感染的VM主机是很困难的。但是我们可以根据病毒的不同行为设置不同的流量策略过滤数据包获取我们想要的信息。往往恶意软件在感染了目标主机后会有反向链接的请求行为,我们可以利用这一点设置请求过滤查看被感染主机的IP。可以看到感染主机的ip为:172.16.165.165。
接下来,我们想要获取被感染主机的主机名。在作者提供的这种环境下,黑客使用的是DHCP自动解析协议。而该协议会将指定服务器发送数据包,其中申请动态ip的主机名作为数据包含在DHCP请求的HostName字段中。首先过滤下DHCP协议。双击查看该数据包包解析,找到HostName字段。可以看到主机名是:K34EN6W3N-PC获取被感染主机的MAC地址,只需要过滤ARP协议。查看发起ARP广播的流量包即可。可以看到感染主机的MAC地址为 f0:19:af:02:9b:f1在获取了被感染主机信息后,我们要确定黑客C2服务器ip/被入侵的服务器ip地址。在当前的情况下,我们只需要设置好过滤条件,主动发起请求为感染主机的ip,向下翻阅可以看到大量的DNS请求,这些DNS请求可以帮助我们有效缩小范围,我们可以看到以下解析的网址域名,通过域名进行筛选。
接下来,我们需要查看Http协议相关的数据包进行第二次筛选。因为感染主机很可能已经与入侵的服务器建立通讯已经浏览过具体内容。所以我们在查看Http相关请求的时候要格外注意"referer"字段。该字段为引荐网址,用于通过某一域名连接到某一其他域名。由此下图基本可以确定,感染主机通过搜索引擎访问到被感染服务器。接下来我们可以通过引用数据包获取搜索引擎真实访问的服务器域名:www.ciniholland.nl。当我们想要找到真正提供下载黑客工具的网址时,我们需要仔细浏览从访问向后的所有数据包。获取到最终的黑客工具提供网址ip为:37.200.69.143。首先根据请求的bing搜索访问域名www.ciniholland.nl。访问的ip为adultbiz.in域名下的jquery.php文件。一般被感染的网站会有外连其他网站行为。接下来会发现访问域名为24corp-shop.com。该域名最终访问黑客工具提供站点为stand.trustandprobaterealty.com。我们可以看到24corp-shop.com是一个重定向链接,因为该链接请求一共不超过3个。接下来需要查看对应网站向感染机器发送的请求。选择文件->导出对象->HTTP协议。由于我们只需要"stand",在文本过滤器中过滤stand字符串即可看到漏洞利用相关的请求。设置过滤条件找到对应包数据。查看内容有可以字符串,可以看到疑似漏洞利用application/x-shockwave-flash、application/x-msdownload、application/java-archive。application/x-msdownload只是MINI应用程序一部分,所以只用了两种漏洞。我们还要确定有效载荷被传递的次数。我们通过google可以看到改MIME类型通常用于DLL文件的编码,所以判断该流量包是用于传递恶意载荷的PE程序的。通过文件对象过滤,可以看到一共传播了3次。由于确定是恶意域名向感染机器发送恶意载荷,将ip源地址设置成黑客恶意ip进行过滤即可。将病毒上传VT可以看到VT检测出两个漏洞。VT只是提供一个方向,具体漏洞需要自己对流量以及程序调试分析。我们可以根据VT提供的Snort告警查看漏洞利用工具包。可以看到EK(EXPLOIT-KIT漏洞利用工具包)签名为Rig exploit kit。查看Suricata告警二次确认,漏洞利用工具包是RIG EK。接下来我们还需要知道被感染的哪个网页中存在重定向链接。首先我们需要对网页源代码进行代码审计。根据流追踪可以看到在JS函数中嵌入了重定向链接http://24corp-shop.com。这与我们google找到的感染方式一致https://labs.sucuri.net/signatures/malwares/js-malware-hidden-iframe-006/这种方式被称为Hidden IFRAME(隐藏IFRAME表单)接下来可以根据VT提供的图形功能结合pacp看到完整的网络关联。通过VT获取其他用户提供的更多信息。关联到flash样本。相关java漏洞的样本。
http.request
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
大河向东流哇 解压码是多少?
独钓者OW 忘了说,解压密码默认是infected
ownb
stand关键词是如何得到的?