malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

流量包下载

题目：

第 1 级问题：
1) 被感染的 Windows 虚拟机的 IP 地址是多少？
2) 被感染的 Windows 虚拟机的主机名是什么？
3) 受感染虚拟机的 MAC 地址是多少？
4) 受感染网站的 IP 地址是什么？
5) 被入侵网站的域名是什么？
6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？
第 2 级问题：
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？
2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？
4) 有效载荷交付了多少次？
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

解题：
1，感染IP

2，感染主机名
可以直接搜索，也可以用dhcp.option.hostname精准定位，能出现这样字段的协议还有nbns/http/kerberos
3，感染主机的MAC地址
一样的过滤出DHCP包搜索MAC address
也可用以下方法
4，受感染网址的IP地址是？
82.150.140.30
5，受感染的域名是？
既然是域名那肯定是HTTP了，往上看，第一个HTTP的包是必应的域名，应该用来收集信息的

再往下看发现还是第三个问题的点，域名是

6，提供漏洞利用工具和软件的IP地址和域名是？
还是IP地址和域名，还提到了工具，先导出HTTP对象看一下有什么可疑对象
这些图片倒是没什么，可疑的是这些名字很长的文件，看包序和域名

得到域名：stand.trustandprobaterealty.com
IP：37.200.69.143
第 2 级问题：

1. 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？
   既然是重定向那还是HTTP的包，
   可以看到过滤出HTTP的包后，188这个IP地址首次出现是在包序981一直到1356，且看到确实有域名，应该就是它了，域名：http://24corp-shop.com/
   追踪HTTP流
   

2. 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？
   HTTP导出，x-modownload是IE漏洞，还找到了一个flash和java的，但是具体不知道是什么漏洞，提取出来先
   提取出来后丢到微步沙箱识别一下，java类型为CVE-2012-0527
   flash为CVE-2014-0569
   都检测了一遍就只有这两个是

3，有效载荷交付了多少次？
三次，且追踪HTTP流时发现是payload是加密过的 5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？
这一题，完全不知道点哪里，只能贴一张这个了第三大题
1，检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

2，受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

说是网站，直接过滤出HTTP，看到这个82.150首次出现，追踪一下http流，发现了一大串东西，重定向的页面也在，应该就是它了，


3) 提取漏洞利用文件。md5 文件哈希是什么？
将刚刚提取出来的文件丢到微步沙箱就可以得到哈希值了

标签：11,malware,HTTP,EK,恶意代码,感染,漏洞,域名,IP
来源： https://blog.csdn.net/weixin_46578840/article/details/121094496