首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
Wireshark流量分析笔记一
发表于: 2021-1-27 15:10 11390

Wireshark流量分析笔记一

独钓者OW 活跃值
2
2021-1-27 15:10
11390

该笔记仅自己用于记录学习内容,网络渗透知识基本为0。望大佬轻喷。
该练习参考https://unit630.com/2020/08/23/malware-traffic-analysis-exercise-1/
首先打开提供的PACP包,可以看到以下内容。我们可以看到有大量不同协议请求的流量包。
图片描述

我们如果想要直接通过肉眼观察流量包找到被感染的VM主机是很困难的。但是我们可以根据病毒的不同行为设置不同的流量策略过滤数据包获取我们想要的信息。往往恶意软件在感染了目标主机后会有反向链接的请求行为,我们可以利用这一点设置请求过滤查看被感染主机的IP。可以看到感染主机的ip为:172.16.165.165。

图片描述
接下来,我们想要获取被感染主机的主机名。在作者提供的这种环境下,黑客使用的是DHCP自动解析协议。而该协议会将指定服务器发送数据包,其中申请动态ip的主机名作为数据包含在DHCP请求的HostName字段中。
首先过滤下DHCP协议。
图片描述
双击查看该数据包包解析,找到HostName字段。可以看到主机名是:K34EN6W3N-PC
图片描述
获取被感染主机的MAC地址,只需要过滤ARP协议。查看发起ARP广播的流量包即可。可以看到感染主机的MAC地址为 f0:19:af:02:9b:f1
图片描述
在获取了被感染主机信息后,我们要确定黑客C2服务器ip/被入侵的服务器ip地址。在当前的情况下,我们只需要设置好过滤条件,主动发起请求为感染主机的ip,向下翻阅可以看到大量的DNS请求,这些DNS请求可以帮助我们有效缩小范围,我们可以看到以下解析的网址域名,通过域名进行筛选。

图片描述
接下来,我们需要查看Http协议相关的数据包进行第二次筛选。因为感染主机很可能已经与入侵的服务器建立通讯已经浏览过具体内容。所以我们在查看Http相关请求的时候要格外注意"referer"字段。该字段为引荐网址,用于通过某一域名连接到某一其他域名。由此下图基本可以确定,感染主机通过搜索引擎访问到被感染服务器。
图片描述
接下来我们可以通过引用数据包获取搜索引擎真实访问的服务器域名:www.ciniholland.nl。
图片描述
当我们想要找到真正提供下载黑客工具的网址时,我们需要仔细浏览从访问向后的所有数据包。获取到最终的黑客工具提供网址ip为:37.200.69.143。
图片描述
首先根据请求的bing搜索访问域名www.ciniholland.nl。
图片描述
访问的ip为adultbiz.in域名下的jquery.php文件。一般被感染的网站会有外连其他网站行为。
图片描述
接下来会发现访问域名为24corp-shop.com。
图片描述
该域名最终访问黑客工具提供站点为stand.trustandprobaterealty.com。
图片描述
我们可以看到24corp-shop.com是一个重定向链接,因为该链接请求一共不超过3个。
图片描述
接下来需要查看对应网站向感染机器发送的请求。选择文件->导出对象->HTTP协议。
图片描述
由于我们只需要"stand",在文本过滤器中过滤stand字符串即可看到漏洞利用相关的请求。
图片描述
设置过滤条件找到对应包数据。
图片描述
查看内容有可以字符串,可以看到疑似漏洞利用application/x-shockwave-flash、application/x-msdownload、application/java-archive。
图片描述
图片描述
application/x-msdownload只是MINI应用程序一部分,所以只用了两种漏洞。
图片描述
我们还要确定有效载荷被传递的次数。我们通过google可以看到改MIME类型通常用于DLL文件的编码,所以判断该流量包是用于传递恶意载荷的PE程序的。
图片描述
通过文件对象过滤,可以看到一共传播了3次。
图片描述
由于确定是恶意域名向感染机器发送恶意载荷,将ip源地址设置成黑客恶意ip进行过滤即可。
图片描述
将病毒上传VT可以看到VT检测出两个漏洞。VT只是提供一个方向,具体漏洞需要自己对流量以及程序调试分析。
图片描述
我们可以根据VT提供的Snort告警查看漏洞利用工具包。可以看到EK(EXPLOIT-KIT漏洞利用工具包)签名为Rig exploit kit。
图片描述
查看Suricata告警二次确认,漏洞利用工具包是RIG EK。
图片描述
接下来我们还需要知道被感染的哪个网页中存在重定向链接。首先我们需要对网页源代码进行代码审计。
图片描述
根据流追踪可以看到在JS函数中嵌入了重定向链接http://24corp-shop.com。
图片描述
这与我们google找到的感染方式一致https://labs.sucuri.net/signatures/malwares/js-malware-hidden-iframe-006/
这种方式被称为Hidden IFRAME(隐藏IFRAME表单)
图片描述
图片描述
接下来可以根据VT提供的图形功能结合pacp看到完整的网络关联。
图片描述
通过VT获取其他用户提供的更多信息。
图片描述
图片描述
关联到flash样本。
图片描述
相关java漏洞的样本。
图片描述

 
http.request

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-1-27 15:24 被独钓者OW编辑 ,原因:
上传的附件:
收藏
免费 4
支持
分享
最新回复 (8)
大河向东流哇
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
私信
2
解压码是多少?
2021-1-28 10:28
0
独钓者OW
雪    币: 3776
活跃值: (5544)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
私信
3
大河向东流哇 解压码是多少?
忘了说,解压密码默认是infected
2021-1-28 10:39
0
大河向东流哇
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
私信
4
独钓者OW 忘了说,解压密码默认是infected
好的好的 谢谢
2021-1-28 16:09
0
miaostart
雪    币: 4889
活跃值: (2559)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
分析得很详细!
2021-1-29 11:07
0
NoThx
雪    币: 2222
活跃值: (739)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
6
值得学习。
2021-1-30 13:13
0
大河向东流哇
雪    币: 259
活跃值: (3475)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
私信
7

ownb

最后于 2021-2-2 14:36 被大河向东流哇编辑 ,原因:
2021-2-1 10:46
0
道之为一
雪    币: 754
活跃值: (180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
分析的很详细,对于学习wireshark很有帮助
2021-2-10 17:55
0
wwwfo
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
9

 stand关键词是如何得到的?


最后于 2021-7-4 00:41 被wwwfo编辑 ,原因:
2021-7-4 00:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//