精华内容
下载资源
问答
  • 恶意流量分析训练四

    千次阅读 2020-02-05 10:06:30
    通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染...

    通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。

    任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。

     

     

    首先我们要确定局域网内几台主机

    Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address

    从结果中可以看到共有5台主机

    接下来我们需要找到各个ip的主机名

    我们前面的实验中知道可以通过nbns来找到主机名

    所以尝试使用nbns过滤

    第一条发现172.16.1.201发起了一个广播包,在红框中可以看到是域控,主机名为CARLFORECE

    继续看第二条

    发现不对劲的地方了吗?

    主机名还是CARLFORCE,这是怎么回事呢?

    我们仔细看这两条包的区别

    172.6.1.201发起的是查询包,172.16.1.4发出的是响应包

    我们还是去看看RFC文档:https://tools.ietf.org/html/rfc1002。

    仔细看看第一条可以看到目的ip为172.16.1.255,说明这是广播包,用于NBNS广播查找

    结合报文格式

    与我们第一条数据包有关的部分我已经用红框划重点了。结合数据包的实例

    可以知道172.16.1.201是在请求查询netbios名为CARLFORCE的机器

    Type为NB,表示类型是通用名称服务资源记录(注意,RFC中的0x0020就是10进制的32)

    Class为IN,表示类为Internet,一般都是默认的

     

    然后分析第二条,第二条是对第一条的响应,我们在RFC文档中可以看到有两种响应,一种是主动的

     

    一种是被动的

    结合第二条数据

    可以判断出这是属于主动响应,既然是主动分析,我们要着重分析ADDR_ENTRY ARRAY

    有圈出的话可以知道ADDR_ENTRY记录反映了主机名的所有者信息,所有者的ip在NB_ADDRESS中。结合数据包实例可以知道,172.16.1.4对应的主机名为CARLFORCE

    或者我们从下面这两条数据也可以看出来

     

    172.16.1.67在查询CARLFORCE,然后172.16.1.67回应172.16.1.4,告诉172.16.1.4CARLFORCE对应着172.16.1.4

     

    可以说,找到一条不同的name query response就能找到其他ip与name对应的信息

    我们继续往下找看看有没有

     

    上图中可以看到172.16.1.4查询NEWARK-1A的信息,然后172.16.1.201回复172.16.1.4,告诉它NEWARK-1A对应着172.16.1.201

     

    所以从nbns协议中我们知道:

    NEWARK-1A对应着172.16.1.201

    CARLFORCE对应的主机名为172.16.1.4

     

    那么其他主机呢?

    现在还剩下

    172.16.1.67

    172.16.1.89

    172.16.1.141

    我们知道SMB使用了NetBIOS的应用程序接口 (Application Program Interface,简称API),也是可以探测到主机名的。

    所以我们可以使用剩余的ip加之smb进行过滤

     

    我们仔细看看,可以发现凡是目的地址为172.16.1.255,即广播包,在info栏里会直接看到对应的主机名

    那么我们是不是可以直接过滤出广播包呢?

    使用下图的命令即可过滤

    这也是找主机名的一种简便的方法

    可是172.16.1.141的主机名呢?

    Nbns找不到,smb找不到,我们前面的实验中学过dhcp也可以找主机名我们试试dhcp

     

    没有记录

    那试试dns呢?Dns也能得到主机名

    可以看到172.16.1.141的主机名为Jersey-Shore-1f

     

     

     

    接下来我们需要找到各个ip对应的用户账户名

    这里我们使用https://packettotal.com,将数据包上传至此进行分析

    分析完毕的界面如图所示,切换到kerberos选项卡,关注client这一栏

    找到的信息如下所示

     

     

     

     

    由上整理我们现在得到的信息:

     

    Ip:172.16.1.67

    主机名:jersey-shore-1a

    用户名:master.shake

     

    Ip:172.16.1.89

    主机名:jersey-shore-2d

    用户名:frylock

     

    Ip:172.16.1.141

    主机名:jersey-shore-1f

    用户名:carl.brutananandilews

     

    Ip:172.16.1.201

    主机名:newark-1a

    用户名:meatwad

     

     

    接下来我们看看各个主机都发生了什么。

    先看看172.16.1.67

    首先过滤出来

    左上方菜单栏  文件-》导出特定分组

    点击保存即可,然后打开

    有前几次的分析经验,我们这次也首先来过滤出http.request

     

    我们看到这种数据有没有四层相识的感觉?

    我们在“恶意流量分析训练二”中碰到过这种流量,如下所示(在附件中已经给出)

     

    可以看到我们的流量也有连续发起两次相同GET请求的特征,所以我们猜测可能是感染了Emotet

    或者我们从给出的告警日志中也可以看出来

     

     

     

    再来看看172.16.1.89

    在给出的数据包中过滤如下

    可以看到只有一条数据,用处不大,没有http,那么我们看看有没有https的流量

     

    上图可以看到目的ip有三个,172.217.6.174是google的,172.217.6.163自然也是google的,我们看看第三个

    这个域名没见过,搜索引擎查一下,我们还没输完就已经自动联想出了这可能是恶意软件

    直接看搜索结果第一条

     

    网站中可以看到

    是恶意word文件,属于某种远控的攻击

    这与我们在附件给出的告警日志中是相同的

    所以是NonoCore RAT malware

     

    接下来看看172.16.1.141

    使用同样的过滤,先看http

    再看https

    都没有帮助

    我们看看其他tcp连接吧,熟悉tcp的三次握手的流程都知道,第一步是发送syn,syn的flag是0x0002,同时因为我们要找的流量其目的地址不应该是同个局域网内的,这又是一个过滤条件,所以结合分析过滤条件为:

    ip.addr eq 172.16.1.141 and tcp.flags eq 0x0002 and !(ip.dst eq 172.16.1.0/24)

    我们发现2017端口很可疑,这端口很明显不是随机的,我们看看目的ip为174.127.99.158

    我们使用这个ip进行过滤

    发现只有syn和rst包,却没有正常该有的syn ack,说明这里流量是有问题的,我们用搜索引擎查查这个ip

    从结果中可以看出这个ip是上了安全厂商的黑名单了

    在此处可以看到分析详情https://www.joesandbox.com/analysis/38705/0/executive,部分截图如下

    报告中根据其行为将其判断木马,接下来结合告警日志看看

     

    可以看到是 Tempedreve malware,恶意文件名可能为21Payment Slip.exe

     

    接下来分析172.16.1.201

    相比而言https中有onion,我们知道这个洋葱路由有关,此处的流量比较可疑

    把这个域名在搜索引擎中查询,可以看到在线沙箱网站分析出这是恶意链接

    在附件的告警日志中也可以看出来

     

    所以分析出来为GLobelmposter Ransomware.

     

     

    现在总结我们的答案:

    Ip:172.16.1.67

    主机名:jersey-shore-1a

    用户名:master.shake

    感染了Emoter malware

     

    Ip:172.16.1.89

    主机名:jersey-shore-2d

    用户名:carl.brutamamamdolews

    感染了NonoCore RAT malware

     

    Ip:172.16.1.141

    主机名:jersey-shore-1f

    用户名:carl.brutananandilews

    感染了Tempedreve malware,恶意文件可能是21Payment Slip.exe

     

    Ip:172.16.1.201

    主机名:newark-1a

    用户名:meatwad

    感染了Globelposter malware

     

    展开全文
  • 恶意流量分析训练一

    千次阅读 2020-02-04 22:50:57
    通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - ...

    通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。

     

     

    场景:

    局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255)

    域: beguilesoft.com

    域控:10.0.0.10 - BeguileSoft-DC

    局域网网关:10.0.0.1

    局域网广播地址:10.0.0.255

     

    任务:

    分析现有的材料,针对受害的windows主机写一份应急报告。建议的模板如下:

     

        总结:

     

            在xx时间, 一台window主机被xx感染

     

        细节:

     

            IP address:

            MAC address:

            Host name:

            Windows user account name:

     

        入侵指标IOC(Indicators of Compromised):

     

            [URLs, domains, IP addresses, and SHA256 hashes related to the infection should appear in this section]

     

     

    提供了两个压缩文件,分别是告警日志和数据包

    解压后分别如下所示

    数据包打开如下所示

     

    涉及到很多协议,现在还没有头绪,我们先来看看告警日志

     

    第一条是到whatismyaddress.com的请求,这不一定是恶意软件产生的流量

    第三条是使用到了ftp STOR,该命令用于存储文件到服务器上,这里提示是连接到外部网络,所以我们推测可能是恶意软件通过ftp协议将数据传输到其外网服务器上

    第四条可以看到日志提示我们这是一个名为Hawkeye Keylogger的木马

    通过搜索引擎在freebuf上有相关的分析文章:https://www.freebuf.com/column/157857.html

    从文章中可以知道会涉及ftp协议,在告警日志中的第五条也可以看到ftp

    所以使用ftp过滤看看,如图所示

    可以看到ftp的第一条

    显示的是proftpd,这我们都知道是一款很常用的ftp服务端软件,可后面的000webhost.com是什么?

    进入其官网看看

    其实就是一家免费的虚拟主机商

     

     

    这样子的过滤其实还是有很多噪音,我们使用ftp常用的关键字来过滤吧,比如USER,PASS,STOR

    过滤命令如下

    ftp.request.command eq USER or ftp.request.command eq PASS or ftp.request.command eq STOR

    命令中or表示任一条件满足即可,eq是等于的意思,用于限定命令

    过滤后的结果如下所示

    这里有一个比较奇怪的地方,就是外网的地址在变动

                                         

    这其实是因为攻击者用的是免费的虚拟主机,比如000webhost。如果更新页面或者传送数据则有可能会导致自动更换ip。

    那么攻击者究竟拿到了什么数据呢?我们使用ftp-data看看他通过ftp传送了什么

    以第一条为例跟踪tcp流

    可以看到系统信息被获取到了,包括:

    主机名:BREAUX-WIN7-PC

    用户名:Adriana.breaux

    MAC地址:84:8f:69:09:86:c0

    Ip地址:10.0.0.227

     

     

    还有谷歌等网站的账号、密码都被攻击者获取到了

     

    我们注意到还有一部分的流量显示的是jpeg,推测可能是主机截屏的图片

    选中一条,同样跟踪tcp流

    从头部可以看到这其实是一个png的图片格式文件

    选择:显示和保存为原始数据

    Save as...

    保存后打开如下所示

    可以看到确实是桌面截屏

     

     

    别忘了,我们还要写应急报告呢!

    现在还缺少IOC,所以我们需要整理下,需要整理出目标端口,ip等

    在这之前,我们需要先回顾下ftp协议,ftp协议用两个端口实现,分别是数据端口和命令端口。命令端口用于连接,数据端口用于传输数据。

    命令端口一般都是21。那么数据端口呢?

    这里又引入了主动模式(PORT)和被动模式(PASV)的概念。当客户端通知服务器它处于被动模式时才会启用,其标志就是客户端给服务端发送了一个PASV.

     

    主动模式:

    在第1步中,客户端的命令端口与FTP服务器的命令端口建立连接,并发送命令“PORT 1027”。然后在第2步中,FTP服务器给客户端的命令端口返回一个"ACK"。在第3步中,FTP服务器发起一个从它自己的数据端口(20)到客户端先前指定的数据端口(1027)的连接,最后客户端在第4步中给服务器端返回一个"ACK"。

     

    被动模式:

    在第1步中,客户端的命令端口与服务器的命令端口建立连接,并发送命令“PASV”。然后在第2步中,服务器返回命令"PORT 2024",告诉客户端(服务器)用哪个端口侦听数据连接。在第3步中,客户端初始化一个从自己的数据端口到服务器端指定的数据端口的数据连接。最后服务器在第4 步中给客户端的数据端口返回一个"ACK"响应。

     

     

    简单地说,就是,在主动模式下一般默认的数据端口为20,在被动模式下数据端口就不一定了。

    接下来我们回到数据包中看看ftp过程中用到了哪些端口。

    这里要注意,在wireshark中要想把完整的ftp协议过滤出来需要使用ftp-data or ftp,只用单个的话只能过滤出ftp命令端口的流量或数据端口的流量,是不完整的

    先来看第一个外网ip:145.14.145.4

    715条的状态码220表示对新用户的服务已经准备好

    716,719可以看到受害者机器通过用户名密码连入ftp服务端

    一直到734条可以看到受害者机器向145.14.145.4发出PASV,前面提到,发出PASV,就说明后面的数据传输过程中服务端使用的端口就不是20了。

    在715到744之间都是命令端口通信的流量。

    所以此时的IOC是

    Ip:145.14.145.4  port:21 url:000.webhost.com

    745开始是通过被动模式连接后进行数据传输了

    以755为例,查看dst port为37280,即此时145.14.145.4使用的数据端口是37280

    所以第二条IOC为

    Ip:145.14.145.4 port:37280 url:000webhost.com

     

    第一个外网地址分析完了,接下来看第二个,145.14.144.10

    从839开始

    看到858又是PASV,有了上次的基础,这次两条IOC就很简单地得出了:

    命令端口的通信流量Ip:145.14.144.10 port:21 000webhost.com

    数据端口的通信流量以867为例

    得到IOC:

    Ip:145.14.144.10 port:40651 url:000webhost.com

    从887开始又一次建立数据传输,端口47434

    所以IOC为:

    Ip:145.14.144.10 port:47434 url:000webhost.com

     

    然后看第三个外网ip 145.14.145.99,从5260开始

    同理可得两条IOC:

    Ip:145.14.145.99 port:21 url:000webhost.com

    Ip:145.14.145.99 port:36091 url:000webhost.com

     

    5309开始又建立了一次数据传输

    此时端口成了35396,所以IOC:

    Ip:145.14.145.99 port:35396 url:000webhost.com

     

    把红色字体的信息整理起来就得到应急报告了:

     

    总结:

    在2019年5月2日21点36分,Adriana.breaux的windows主机被Hawkeye Keylogger恶意软件感染

     

    细节:

    主机名:BREAUX-WIN7-PC

    用户名:Adriana.breaux

    MAC地址:84:8f:69:09:86:c0

    Ip地址:10.0.0.227

     

    IOC:

    Ip:145.14.145.4  port:21 url:000.webhost.com

    Ip:145.14.145.4 port:37280 url:000webhost.com

    Ip:145.14.144.10 port:21 url:000webhost.com

    Ip:145.14.144.10 port:40651 url:000webhost.com

    Ip:145.14.144.10 port:47434 url:000webhost.com

    Ip:145.14.145.99 port:21 url:000webhost.com

    Ip:145.14.145.99 port:36091 url:000webhost.com

    Ip:145.14.145.99 port:35396 url:000webhost.com。

     

    展开全文
  • 恶意流量分析训练五

    千次阅读 2020-02-05 10:08:13
    通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac...

    通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。

     

     

     

    本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等)

     

    前面的分析经验告诉我们,首先看http,https的流量,基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件,然后在主机上打开其他端口通信或者伪装为正常浏览通信,或者通过dhcp,icmp等隧道通信。不论怎样,最开始的步骤 一定是和http,https有关的,所以先过滤出对应的流量。

     

    在上图中可以看到第二条通过http get方式获取到恶意二进制程序

    第三条流量是使用myexternal.com网站查询出口ip

    第二个框起来的就是在tcp 447 449端口上的加密通讯流量,我们可以尝试将其作为ssl解密,具体步骤如下:

    选择analyze->decode as

    点击左下角加号

    每个列都可以双击后选择所需的配置

    配置如下所示,然后点击ok

     

     

    前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出

    file->export->http

    选中可以的后缀为bin的二进制程序

     

    点击save即可保存

     

     

     

    我们首先看看这个文件是什么类型的

    然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件

    打开virustotal

    search然后在输入框中输入hash值

    点击右边的放大镜搜索

    搜索结果如下

    从下面的comment可以看出这可能是trickbot恶意软件

    接下来我们看看是什么时候从哪儿感染的trickbot

    可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的

     

     

     

     

    我们统计下流量,statistics->ipv4 statics->all address

    如下图所示

    可以看到流量基本都是与10.10.10.209有关

    接下来我们需要得到的是其mac和hostname

    mac很容易拿到,随便选中一条10.10.10.209的流量就能看到

    接下来要找hostname,经过前面几次流量分析训练,找hostname应该也不难了,可以使用dhcp看看

    这里注意,dhcp前身是bootp,直接在wireshark中使用dhcp过滤可能无效,我们使用bootp就行了

    这样就能找到hostname了

    过滤出dhcp还有一种方法,就是通过端口过滤

    dhcp的端口是udp 67和udp 68

    同样拿到了hostname

    其实我们注意到数据包中还有nbns流量,所以可以尝试使用nbns来获取hostname,直接使用nbns过滤即可

    接下来我们要找到账户名,这里注意,账户名是指user account name,有hostname没有任何关系,可能相同,可能不同

    既然前面我们知道了又nbns的流量,nbns全称是netbios name service,是netbios的流量,这是windows下特有的,所以我们可以知道现在分析的是windows的环境,既然是windows环境下,让我们找user account name,我们之前学过两种方法,一种是看http,一种是看kerberos,我们试试kerberos行不行

    注意,我上图的语法只适用于2.x的版本,如果不是2.x的版本请使用这条命令

    ip.addr eq 10.10.10.209 and Kerberos.cname_element and kerberos.KernerosString and !(kerberos.KerberosString contains $)

    要查看自己的wireshark的版本号可以help->wireshark

    可以看到我的版本是2.x的

    所以现在总结下我们的回答:

    ip:10.10.10.209

    mac地址:00:30:67:fa:2d:63

    hostname:batiste-pc

    user account name:winford.batiste

     

    indicators(指标):
    95.110.193.132-80端口- caveaudelteatro.ot -GET /ser0410.bin-获取Trickbot 二进制文件

    78.47.139.132-80端口-myexternalip.com-GET /raw –受感染主机查找自身出口ip

    82.214.141.134-449端口—TrickBot产生的SSL/TLS 流量

    82.61.160.50-447端口-rickBot产生的SSL/TLS 流量

     

    SHA256 Hash: c2c1e2c22f67dda6553cbcc173694b68677b77319243684925e8dc3f78b3dbf8

     

    文件大小:1.4M

    文件描述:从caveaudelteatro.ot 下载的trickbot二进制文件

                1.  
    展开全文
  • 恶意流量分析训练三

    千次阅读 2020-02-05 10:03:08
    了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的...

    了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。

     

     

    试根据给出的数据包等文件,分析解答如下问题

    Q1:用户的姓名?

    Q2:用户windows机器的主机名?

    Q3:用户windows主机的ip地址?

    Q4:用户电脑的mac地址?

    Q5:用户被感染了哪些恶意文件?

     

    打开wireshark上方的菜单,统计-》ipv4 statics->all address,如图所示

    可以看到通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136

    那么主机名该如何找到呢?我们先来看看数据包都有哪些协议。

    我们知道NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名

    所以选中一条nbns的数据

    红框定位的就是mac地址及主机名

    那么使用者的姓名呢?

    在电脑自带的通信过程中,一般人是不会设置完整的姓名的,题目既然这么问说明要从其他地方入手,比如用户在网站注册,或者他的邮件的名字,都有可能是姓名,所以我们尝试过滤出http请求数据。

    过滤后的数据也不多,往下翻就可以看到

    出现了signup的关键字

    我们跟踪其tcp流

    可以看到post的最后一行发现了姓名。

     

     

    接下来我们分析下用户感染了哪些恶意软件,以及如何被感染的。

    可以看到在用户注册之后,紧接着是google analytics,这是Google开发的网站流量跟踪工具。

    然后后面就出现了一些奇怪的http get 和 post请求

    针对第一条get

    将full request uri右键-》复制-》值,然后再搜索引擎中查询

    可以看到这是恶意软件

    而这条链接分析博客的分析是恶意脚本下载的源链接,其模式与博客给出的其他链接相同

    最后指出这是Locky Malware

    后面的post请求是用户被感染之后访问其他网页产生的流量。

     

     

     

    那么只有感染这一个恶意软件吗?

    我们再继续分析,往下翻

    看到了.top域名,这就要非常敏感了,很多恶意软件都会去注册使用.top

    选中第一条get,跟踪tcp流

    可以看到referer信息,referer表示是从该页面链接过来的,所以此处的话表明用户访问正常的网页http://www.emidioleite.com........然后被定向访问到了.top

    接下来结合snort日志分析,根据目的ip去日志中检索

    可以看到snort检测到是属于Angler exploit-kit发起的攻击,后面还提示是landing page,那么一定会传递载荷

    我们进一步分析其他的tcp流

    可以看到传递了大约443k的载荷文件

    我们通过搜索引擎检索到第一篇捕捉到该攻击的推文

    所以就可以推测这443k的文件就是伪装成swf格式的flash文件

     

    继续往下看看剩余有没有可疑的流量

    在最后的一系列post userinfo.php这种用户正常访问的额流量之前我们有看到了奇怪的流量

    跟踪tcp流,可以看到这个referer,说明也是从其他网页链接过来的

    去snort日志了按照目的ip检索

    可以看到也是Angler Exploit-Kit

    不过这次的攻击手法是什么呢?

    我们取消过滤条件,看看

    接下来我们要有侧重点,因为实际攻击中ip是可能动态变化的,而一般端口是不会变得,所以我们的办法就是在source ip为10.0.21.136时,看看目的端口有哪些

    可以看到主要是80和443

    接下来结合关键字Agnler exploit-kit一起去搜索引擎搜索

    点击查看,关键信息如下

    可以看到与443,80有关的通信是由于Crypt ransomware

    从文章的分析思路中可以看到Crypt ransomware是由Angler EK派生的

     

    所以我们就可以得出结论了:

    用户受到了三次感染,第一次是来自malware spam的Locky ransomware,第二次是Angler EK的文件(由分析文章推知是伪装的swf文件),第三次是Angler EK的CryptXXX ransomware。

    .net

    展开全文
  • 恶意流量分析训练六

    2020-02-05 10:10:26
    通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: ...
  • 恶意流量分析训练二

    千次阅读 2020-02-04 22:52:55
    通过该实验了解使用wireshark进行恶意流量分析,本次实验涉及知识包括操作系统指纹识别、域环境、Emotet银行木马流量特征等。 环境: 局域网段:172.16.3.0/24(172.16.3.0 到 172.16.3.255) 域:eggnogsoup...
  • 恶意流量分析训练八

    2020-02-05 10:14:36
    通过该实验通过分析多个eml文件,并根据附件文件进行分析,结合在线分析引擎给出的流量特征结合比对掌握分析技术,本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。 给出使用给出了大量邮件附件,请...
  • 加密一直都是保护用户通讯隐私的重要特性,但是目前的网络数据百分之60都使用了HTTPS来进行加密传输,如何来进行密文的恶意流量分析,也就是HTTPS数据包的恶意流量分析,一直是一个难题。
  • 恶意流量分析训练九

    2020-02-05 10:16:35
    通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。 这次实验给出了一个数据包。 我们直接打开 可以看到有nbns的...
  • 恶意流量分析训练十

    2020-02-05 10:19:44
    通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为...
  • xsec-traffic为一款轻量级的恶意流量分析程序,包括传感器sensor和服务端server 2个组件。
  • 通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相...
  • (1)设置捕获选项,选择捕获的网卡,捕获过滤条件。... (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的...
  • 恶意流量分析训练七

    2020-02-05 10:12:21
    通过该实验学会分析eml文件并从中提取出附件进行分析,包括根据生成的hash进行搜索等,掌握wireshark的关键过滤语法包括过滤tcp syn包、过滤重传包、过滤dns query包等,有意识培养取证分析的思维和思路。...
  • 恶意流量分析资料

    2017-11-14 14:33:26
    (1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)一些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:...
  • 加密恶意流量检测思路分析

    千次阅读 2020-08-09 22:11:11
    通过使用机器学习针对加密流量中潜藏的安全威胁,不需要对加密的恶意流量进行解密,通过分析其明文参数信息以及背景流量数据等特征,借助几种常见的机器学习算法实现对恶意加密流量的检测。
  • [wireshark]ftp恶意流量分析

    千次阅读 2021-11-14 16:36:26
    ftp流量分析 先回顾下ftp协议,ftp协议用两个端口实现,分别是数据端口和命令端口。命令端口用于连接,数据端口用于传输数据。 命令端口一般都是21。而数据端口会变动。 这里又引入了主动模式(PORT)和被动模式...
  • 那么,我发现的这个TCP53,是不是恶意流量呢?根据流量中的可见域名,将域名作为关键词google了一下,发现了它是恶意域名的实锤:https://www.malware-traffic-analysis.net/2014/07/02/index.html TCP是为了隐蔽...
  • 《网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析》专栏的数据包资源
  • 深度学习之Keras检测恶意流量

    千次阅读 2020-01-19 13:48:15
    静态规则检测方式,来一条恶意流量使用规则进行命中匹配,这种方式见效快但也遗留下一些问题,举例来说,我们每年都会在类似 WAF、NIDS 上增加大量的静态规则来识别恶意攻击,当检测规则达到一定数量后,后续新来的...
  • 分析: 对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染...
  • 1.基础分析 2.详细介绍 2.1 指纹探测 恶意代码指纹探测技术有很多种,常见的有hash值探测、流量统计...(2)流量统计指纹:提取恶意代码流量中的包层特征和流层特征,对高维流层特征采用主成分分析进行降维,利用...
  • 网站地址是https://www.malware-traffic-analysis.net/ 网站有很多流量分析的练习以及流量分析的技术博客,值得学习
  • 加密流量分析.pdf

    2020-02-23 20:09:36
    迅猛增长的加密流量正不断改变着威胁形势。随着越来越多的企业实现全数字化,大量的服务和应 用都采用加密技术作为确保信息安全的首要方法。...他们恶意活动能够得逞。图 1 显示了此类攻击带来的经济影响。
  • 本小白希望,通过使用Wireshark对数据包的分析和认识,以便为日后更好理解网络恶意流量和恶意代码的作用流程和原理打下基础,同时也分享给大家: 介绍: PCAP是一个数据包抓取库, 很多软件都是用它来作为“数据包...
  • 基于深度学习的加密恶意流量检测研究.pdf
  • 安全概述 加密流量的异常检测 多模型融合的恶意软件分析 PRS-NTA 斗象&F5联合解决方案
  • 3. 应用omnipeek进行专家分析 4. 过滤IP流量包,通过shell脚本 #!/bin/bash mkdir X mkdir H A=`ls -l | grep -v ^d | grep -v sl.sh | awk '{print $9}'` for B in $A do tcpdunp -n -r $B...
  • 一般来说,通过IDS来监测一些攻击流量,或者说恶意流量也是可以的;但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量;具体细节我没有深入去研究,例如流量捕获部分到底是什么引擎来启动的。 1. 系统简介 ...
  • 介绍一些恶意威胁流量pcap数据包的资源

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 25,998
精华内容 10,399
关键字:

恶意流量分析