IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 合天恶意流量分析八 -> 正文阅读

[网络协议]合天恶意流量分析八

你的任务:
找出哪个电子邮件用于感染哪台计算机。毕竟,这有多难?

先来看MARCUS的

先使用http.request过滤

在这里插入图片描述
可以看到主要有两个可疑的地方:

185.165.29.36—GET /trolls.jpg

myexternalip.com—GET /raw

先追踪第一个tcp流看看
猜测这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行

再看第二个
发现也没有user-agent

再看看有没有其他异常的tcp连接,可以先过滤出tcp syn包

在这里插入图片描述

可以看到在异常流量之间存在着443,9001端口的流量

https常会走443,tor常会走9001,也就是说,这两个端口的流量可能是https/ssl/tls加密过的

所以使用ssl.handshake.extensions_server_name作为过滤条件

发现了一些奇怪的sever name
在这里插入图片描述
将这个数据包上传到virustotal分析,看到suricata的结果
在这里插入图片描述

下面看marion

在这里插入图片描述

发现.top域名,进行搜索

这个域名与Cerber有关

将其上传到virustoal看看分析结果
可以看到有针对Cerber,Kovter以及其他恶意软件比如JS或WSF下载器等的告警日志

所以我们推测GET /countet?*的流量是JS/WSF文件下载器的链接

而那个top域名是Cerber勒索软件使用的

下面看邮件
其中一个邮件解压后得到一个js脚本
使用文本编辑器打开
在这里插入图片描述
通过其hash去搜索引擎看看
在这里插入图片描述
在reverse.it看到其通信特征

这与marion的特征很像

在这里插入图片描述
在这里插入图片描述
在reverse.it分析出的http流量中看到与marion的也很相似,相比于上一封邮件,这次的js文件的流量的目的ip与marion数据包中的都是相同的,所以我们推测正是这封邮件使得marion的电脑受到感染

在这里插入图片描述
发现一封求职信
在这里插入图片描述
根据hash值搜索
可以在revese.it中看到其通信特征
这与marcus数据包中/trolls.jpg那条流量的ip完全相同,所以可以确定该邮件导致marcus电脑受到感染。
综上所述,答案如下:

下面的邮件感染了Marcus’s 电脑

Date: 2017-04-17 at 21:55 UTC

From: “see shenandoah memorial hospital” mautzel1982@t-online.de

To: dunhambrothers@dunhamhillsmortuary.com

主题: Hi

附件: see shenandoah memorial hospital.doc

下面的邮件感染Marion’s 电脑:

Date: 2017-04-08 at 12:20 UTC

From: privileges@ns3.logomotion-serveur.com

To: dunhambrothers@dunhamhillsmortuary.com

主题: Package Delivery Notification

附件: FedEx-Parcel-ID-S0JM7T30.zip

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2021-07-15 16:36:12  更:2021-07-15 16:38:46 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 13:52:51-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计