合天恶意流量分析五
作者:互联网
任务
感染日期/时间
谁被感染(IP 地址、主机名、MAC 地址和用户帐户名)
涉及哪些恶意软件
这种感染的可能来源
与此感染相关的指标(IP 地址、域、URL 和文件哈希,如果有)
mac地址 00:30:67:f1:2d:63
通过查询nbns流量得到
之后也是正常操作,查看http和https
发现第二条通过http get方式获取到恶意二进制程序
第三条是使用myexternal.com网站查询出口ip
前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出
将他导出,发现
那就管不了了
下面复制wp的
其中有一步是这样做的,就是查看感染的时间
在首选项中,进行搜索
然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件
打开virustotal
search然后在输入框中输入hash值
点击右边的放大镜搜索
搜索结果如下
从下面的comment可以看出这可能是trickbot恶意软件
接下来我们看看是什么时候从哪儿感染的trickbot
可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的
标签:文件,http,恶意软件,感染,流量,恶意,地址,合天 来源: https://blog.csdn.net/GrapeSour/article/details/118670232