恶意流量分析训练八
通過該實驗通過分析多個eml文件,并根據附件文件進行分析,結合在線分析引擎給出的流量特征結合比對掌握分析技術,本次訓練還涉及到郵件釣魚、郵件偽造、js惡意腳本等知識點。
?
給出使用給出了大量郵件附件,請分析判斷哪封郵件感染了Marcus的電腦,哪封郵件感染了Marion的電腦
先來看MARCUS的
先使用http.request過濾
可以看到主要有兩個可疑的地方:
185.165.29.36—GET /trolls.jpg
myexternalip.com—GET /raw
先看第一個疑點,跟蹤其tcp流
?
可以看到http頭部沒有user-agent,而一般正常的http流量都是應該要有的。第二點在上圖紅圈可以看出這是一個可執行文件而不是conten-type指出的圖像文件。這種行為是一些惡意軟件典型的行為—從某個服務器下載一個可執行恩建然后在受害者的主機上執行
?
?
第二個疑點是因為這個網站是用于查詢ip的
而且跟蹤tcp流
?
發現同樣沒有user-agent,也是不正常的
?
?
接下來看看其他的,比如看有沒有異常的tcp連接,可以先過濾出tcp syn包
可以看到在前面找到的異常流量之間,我們發現了443,9001端口的流量,我們知道https常會走443,tor常會走9001,也就是說,這兩個端口的流量可能是https/ssl/tls加密過的
我們將https server name應用為列然后使用ssl.handshake.extensions_server_name作為過濾條件
可以看到一些奇怪的server name
將這個數據包上傳到virustotal分析,看到suricata的結果
可以看到也是提示有tor ssl流量,和網絡木馬等。
?
?
?
接下來分析marion數據包
同樣還是先過濾出http.request
看到了一些可疑的地方
.top域名就很可以,搜索引引擎可以看到
?
這個域名與Cerber有關
將其上傳到virustoal看看分析結果
?
可以看到有針對Cerber,Kovter以及其他惡意軟件比如JS或WSF下載器等的告警日志
所以我們推測GET /countet?*的流量是JS/WSF文件下載器的鏈接
而那個top域名是Cerber勒索軟件使用的
?
?
?
?
接下來我們分析給出的郵件
先看2304-UTC.eml
使用thunderbirtd打開后如圖所示
有個深藍色的按鈕,點擊后會訪問如圖
鏈接為
http://www.hlygsun.com/tmp/mercadopago/Ativacao_06042017/?ativacao=73566.pdf
不過這個鏈接在數據包中沒有,所以這個郵件應該與此次感染行動無關
接下來看看1439-UTC.eml
如圖所示
從內容來看,這是一封FexEX的郵件,讓我們打開附件看看快遞清單的細節,不過從發件人的郵箱來看,這可能是偽造的郵件
我們保存附件
解壓后得到一個js腳本
使用文本編輯器打開
?
在上圖中看到很多域名
我們猜測這個js腳本可能會通過這些域名來下載惡意軟件
當然,我們也可以通過其hash去搜索引擎看看
在reverse.it看到其通信特征
?
這與marion的特征很像
?
?
接下來看看1230-UTC.eml
又是一封模仿快遞公司的郵件,也是查看附件
解壓后得到js文件
使用文本編輯器打開
可以看到也有用于通信的域名
同樣根據hash在搜索引擎查找
在reverse.it分析出的http流量中看到與marion的也很相似,相比于上一封郵件,這次的js文件的流量的目的ip與marion數據包中的都是相同的,所以我們推測正是這封郵件使得marion的電腦受到感染
接下來看0101-UTC.eml
郵件中有個超鏈接,點擊后會打開
鏈接為:
https://cl.ly/412v3b1b2f3i?80511692008355950526752
而marcus的數據包中沒有指向cl.ly的url的流量,所以不是這封郵件
?
再看看0842-UTC.eml
也是同樣的偽造快遞公司的郵件,附件解壓后也是js文件,通過reverse.it分析發現流量特征與marcus的不符合,故排除
?
看看1652-UTC.eml
?
附件是pdf文件
保存后打開
點擊后會重定向到
訪問時已經404了
所以這封郵件的調查先到這
?
再看看1830-UTC.eml
也是同樣的偽造快遞公司的郵件,附件解壓后也是js文件,通過reverse.it分析發現流量特征與marcus的不符合,故排除
?
?
看看2155-UTC.eml
?
從內容來看是一封求職者的信,附件是簡歷,為word格式,可以推測,如果是惡意word的話,可能會通過office宏等方式進行攻擊
我們保存后計算hash
搜索引擎查找
可以在revese.it中看到其通信特征
這與marcus數據包中/trolls.jpg那條流量的ip完全相同,所以可以確定該郵件導致marcus電腦受到感染。
?
?
綜上所述,答案如下:
下面的郵件感染了Marcus's 電腦
Date: 2017-04-17 at 21:55 UTC?
From: "see shenandoah memorial hospital" <mautzel1982@t-online.de>
To: dunhambrothers@dunhamhillsmortuary.com?
主題: Hi?
附件: see shenandoah memorial hospital.doc
?
下面的郵件感染Marion's 電腦:
Date: 2017-04-08 at 12:20 UTC?
From: privileges@ns3.logomotion-serveur.com
To: dunhambrothers@dunhamhillsmortuary.com
主題: Package Delivery Notification
附件: FedEx-Parcel-ID-S0JM7T30.zip
?
?
?
總結
- 上一篇: kiel实现c语言编程,单片机实验1(K
- 下一篇: 哈工大计算机学院官网哈工大软件工程专业,