其他分享
首页 > 其他分享> > malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

作者:互联网

流量包下载

题目:

第 1 级问题:
1) 被感染的 Windows 虚拟机的 IP 地址是多少?
2) 被感染的 Windows 虚拟机的主机名是什么?
3) 受感染虚拟机的 MAC 地址是多少?
4) 受感染网站的 IP 地址是什么?
5) 被入侵网站的域名是什么?
6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?
第 2 级问题:
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
4) 有效载荷交付了多少次?
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?

解题:
1,感染IP
在这里插入图片描述

2,感染主机名
可以直接搜索,也可以用dhcp.option.hostname精准定位,能出现这样字段的协议还有nbns/http/kerberos
在这里插入图片描述3,感染主机的MAC地址
一样的过滤出DHCP包搜索MAC address
也可用以下方法
在这里插入图片描述4,受感染网址的IP地址是?
82.150.140.30
在这里插入图片描述5,受感染的域名是?
既然是域名那肯定是HTTP了,往上看,第一个HTTP的包是必应的域名,应该用来收集信息的

在这里插入图片描述再往下看发现还是第三个问题的点,域名是
在这里插入图片描述
6,提供漏洞利用工具和软件的IP地址和域名是?
还是IP地址和域名,还提到了工具,先导出HTTP对象看一下有什么可疑对象
在这里插入图片描述这些图片倒是没什么,可疑的是这些名字很长的文件,看包序和域名

在这里插入图片描述得到域名:stand.trustandprobaterealty.com
IP:37.200.69.143
在这里插入图片描述第 2 级问题:

  1. 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
    既然是重定向那还是HTTP的包,
    在这里插入图片描述可以看到过滤出HTTP的包后,188这个IP地址首次出现是在包序981一直到1356,且看到确实有域名,应该就是它了,域名:http://24corp-shop.com/
    追踪HTTP流
    在这里插入图片描述

  2. 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
    HTTP导出,x-modownload是IE漏洞,还找到了一个flash和java的,但是具体不知道是什么漏洞,提取出来先
    在这里插入图片描述提取出来后丢到微步沙箱识别一下,java类型为CVE-2012-0527
    在这里插入图片描述flash为CVE-2014-0569
    在这里插入图片描述都检测了一遍就只有这两个是

3,有效载荷交付了多少次?
三次,且追踪HTTP流时发现是payload是加密过的 在这里插入图片描述5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?
这一题,完全不知道点哪里,只能贴一张这个了在这里插入图片描述第三大题
1,检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?
在这里插入图片描述

2,受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?

说是网站,直接过滤出HTTP,看到这个82.150首次出现,追踪一下http流,发现了一大串东西,重定向的页面也在,应该就是它了,
在这里插入图片描述
在这里插入图片描述
3) 提取漏洞利用文件。md5 文件哈希是什么?
将刚刚提取出来的文件丢到微步沙箱就可以得到哈希值了

标签:11,malware,HTTP,EK,恶意代码,感染,漏洞,域名,IP
来源: https://blog.csdn.net/weixin_46578840/article/details/121094496