Wireshark 分析包含受感染流量的捕获文件
下载实验流量包
查看流量包中使用的协议
Statistics→ Protocol Hierarchy
查看受感染的IP地址
Statistics→Conversations</p>-
显示过滤器:
http.request1
如果跟踪文件包含任何DNS或DHCP流量,则可以通过过滤NBNS / DNS流量
[dns.qry.name]或DHCP流量[bootp.option.hostname]来找到受害者的主机名
不寻常的端口
通过分析,我们可以清楚地看到主机总共使用三个端口,即80、443和16471,其中16471看起来很奇怪,通过 Google 搜索得知它是 Blackhole漏洞利用工具包提供的 ZeroAccess Trojan常用端口之一
可以使用在线资源来验证是否有任何域/ URL或IP地址被列入黑名单:
找到感染源
在分析了上面的细节之后我们可以得出结论,客户端通过HTTP协议访问了一个恶意网站,导致受到感染。为了确定客户访问的网站或域,我们首先需要检查跟踪文件中存在的所有域或连接点
但是由于此跟踪文件中没有DNS流量,因此我们可以通过过滤HTTP流量来查看访问的域。在这种情况下,以下显示过滤器很有用:
http.requesthttp.host
通过分析每一个域的流量,发现用户访问http://tonerkozpont.com时被重定向到http://raiwinners.org站点
跟踪重定向连接,我们注意到在HTTP 302响应中通过Location头再次重定向到domenicossos.com站点
可以在
Statistics菜单下的Flow Graph图中看到受感染网站的另一个重定向,该图表明客户端最初访问了91.186.20.51,此IP地址已解析为http://tonerkozpont.com
提取传输的文件
Follow HTTP流量,发现有4个文件在网络上传输
1.
2.
3.
4.
提取包含二进制文件的流量包
- 通过显示过滤器过滤掉不相关的数据包,保存包含二进制文件的数据包,不仅可以缩小范围也可以进行备份
- 保存过滤后的数据包:
File→Export Specified Packets
提取二进制文件
- 右键某数据包,点击
Follow Stream,然后只显示一端向另一端发的数据,注意数据流里包含二进制文件 -
选择
Show and save data as:Raw - 保存
Save as...,注意保存的文件格式与该二进制文件格式相同,之后使用Hex编辑器去掉多余的字段
分析文件
提交文件到virustotal网站上检测
总结
客户端/受害者(192.168.204.150)访问了一个受感染的网站(http:// tonerkozpont.com),该网站已将它进一步重定向到mydb.php页面上托管Blackhole漏洞利用工具包的网站(domenicossos.com)。然后可疑网站在受害者主机上下载了java exploit(JavaArchive.jar),然后传递了三个不同的有效负载(calc.exe、info.exe和readme.exe)。一旦被感染,就会发现额外的HTTPS流量,这些流量是针对ohtheigh.cc的多个子域进行的,此外还有到16471端口的流量
-
通过过滤数据包来查看是哪个IP地址发起请求,从而怀疑它是受感染的主机 ↩