freebuf0x0 事件简述
某天,客户觉得自己的机器貌似被感染了,让我们寻找一下解决方案,看看到底有没有异常流量,以及是否感染,感染的具体情况。
客户提供的信息如下:
- LAN segment range: 10.08.21.0/24 (10.08.21.0 through 10.08.21.255)
- Domain: tecsolutions.info
- Domain controller: 10.08.21.8 - Pizza-Bender-DC
- LAN segment gateway: 10.08.21.1
- LAN segment broadcast address: 10.08.21.255
0x1 分析目的
通过流量分析找到如下信息:
1.找到被感染或者沦陷的主机以及其信息,包括IP、MAC地址、主机名等
2.确定感染的主机上的恶意软件类型,或提取出样本
3.找到恶意软件是如何感染到主机上的
4.找到感染前沦陷主机到底做了什么
0x2 分析过程
WireShark打开用户发给我们的流量包
1.找到沦陷主机
这里直接过滤HTTPS包和HTTP包,得到如下结果
HTTPS包
HTTP包
根据客户提供给我们的信息,IP范围为10.08.21.0/24,我们已经初步确定,用户主机的IP为10.18.21.163,相应的MAC地址如下:
根据流量包,得出用户主机的一些信息
IP:10.18.21.163
MAC地址:10:c3:7b:0a:f2:85
主机名:DESKTOP-OF4FE8A
2.找到该主机上的样本
鉴于样本肯定不可能在用户电脑上凭空出现,推断其是从网络上下载,查找所有的Get请求流量
使用HTTP流追踪这些流量中通信数据包较大的流量,发现信息如下:
2020-08-21 15:04:24
和IP 45.12.4.190的通信中传递了一个PE文件。
我们把这个包中传输的文件导出,获取HASH,在virustotal上查询
发现是一个后台木马,不同的引擎对其特征警告如下
3.找到恶意软件是如何感染到主机上的
由于此前并未发现用户的Get请求,暂未找到有用的信息,只能确定用户通过域名ncznw6a.com下载了一个木马
4.识别木马感染特征
4.1 在Wireshark中查看地址解析,发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了,同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。
4.2 过滤https请求,发现感染主机10.18.21.163感染木马后,访问的一些不正常域名
ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou
其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为:89.44.9.186,推测其为木马通信的客户端IP
0x3 事件总结
1.感染主机:
10.18.21.163、10.8.21.8
2.感染特征:
a.主机的IP地址被映射到pizza-bender.com的子域名
b.存在木马的主机和89.44.9.186有大量https通信
3.感染过程:
2020-08-21 15:04:24
主机10.18.21.163通过域名ncznw6a.com下载了一个名为ranec11.cab的木马后门
2020-08-21 15:07:03
主机10.18.21.163和客户端(IP:89.44.9.186)开始通信
转载请注明来自网盾网络安全培训,本文标题:《一次恶意流量分析实战实例》
标签:木马
