你的任务:
找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难?
先来看MARCUS的
先使用http.request过滤
可以看到主要有两个可疑的地方:
185.165.29.36—GET /trolls.jpg
myexternalip.com—GET /raw
先追踪第一个tcp流看看
猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行
再看第二个
发现也没有user-agent
再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包
可以看到在异常流量之间存在着443,9001端口的流量
https常会走443,tor常会走9001,也就是说,这两个端口的流量可能是https/ssl/tls加密过的
所以使用ssl.handshake.extensions_server_name作为过滤条件
发现了一些奇怪的sever name
将这个数据包上传到virustotal分析,看到suricata的结果
下面看marion
发现.top域名,进行搜索
这个域名与Cerber有关
将其上传到virustoal看看分析结果
可以看到有针对Cerber,Kovter以及其他恶意软件比如JS或WSF下载器等的告警日志
所以我们推测GET /countet?*的流量是JS/WSF文件下载器的链接
而那个top域名是Cerber勒索软件使用的
下面看邮件
其中一个邮件解压后得到一个js脚本
使用文本编辑器打开
通过其hash去搜索引擎看看
在reverse.it看到其通信特征
这与marion的特征很像
在reverse.it分析出的http流量中看到与marion的也很相似,相比于上一封邮件,这次的js文件的流量的目的ip与marion数据包中的都是相同的,所以我们推测正是这封邮件使得marion的电脑受到感染
发现一封求职信
根据hash值搜索
可以在revese.it中看到其通信特征
这与marcus数据包中/trolls.jpg那条流量的ip完全相同,所以可以确定该邮件导致marcus电脑受到感染。
综上所述,答案如下:
下面的邮件感染了Marcus’s 电脑
Date: 2017-04-17 at 21:55 UTC
From: “see shenandoah memorial hospital” mautzel1982@t-online.de
To: dunhambrothers@dunhamhillsmortuary.com
主题: Hi
附件: see shenandoah memorial hospital.doc
下面的邮件感染Marion’s 电脑:
Date: 2017-04-08 at 12:20 UTC
From: privileges@ns3.logomotion-serveur.com
To: dunhambrothers@dunhamhillsmortuary.com
主题: Package Delivery Notification
附件: FedEx-Parcel-ID-S0JM7T30.zip