malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

流量包下载

题目:

第 1 级问题:
1) 被感染的 Windows 虚拟机的 IP 地址是多少?
2) 被感染的 Windows 虚拟机的主机名是什么?
3) 受感染虚拟机的 MAC 地址是多少?
4) 受感染网站的 IP 地址是什么?
5) 被入侵网站的域名是什么?
6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?
第 2 级问题:
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
4) 有效载荷交付了多少次?
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?

解题:
1,感染IP
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

2,感染主机名
可以直接搜索,也可以用dhcp.option.hostname精准定位,能出现这样字段的协议还有nbns/http/kerberos
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析3,感染主机的MAC地址
一样的过滤出DHCP包搜索MAC address
也可用以下方法
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析4,受感染网址的IP地址是?
82.150.140.30
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析5,受感染的域名是?
既然是域名那肯定是HTTP了,往上看,第一个HTTP的包是必应的域名,应该用来收集信息的

malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析再往下看发现还是第三个问题的点,域名是
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析
6,提供漏洞利用工具和软件的IP地址和域名是?
还是IP地址和域名,还提到了工具,先导出HTTP对象看一下有什么可疑对象
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析这些图片倒是没什么,可疑的是这些名字很长的文件,看包序和域名

malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析得到域名:stand.trustandprobaterealty.com
IP:37.200.69.143
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析第 2 级问题:

  1. 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
    既然是重定向那还是HTTP的包,
    malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析可以看到过滤出HTTP的包后,188这个IP地址首次出现是在包序981一直到1356,且看到确实有域名,应该就是它了,域名:http://24corp-shop.com/
    追踪HTTP流
    malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

  2. 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
    HTTP导出,x-modownload是IE漏洞,还找到了一个flash和java的,但是具体不知道是什么漏洞,提取出来先
    malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析提取出来后丢到微步沙箱识别一下,java类型为CVE-2012-0527
    malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析flash为CVE-2014-0569
    malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析都检测了一遍就只有这两个是

3,有效载荷交付了多少次?
三次,且追踪HTTP流时发现是payload是加密过的 malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?
这一题,完全不知道点哪里,只能贴一张这个了malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析第三大题
1,检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析

2,受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?

说是网站,直接过滤出HTTP,看到这个82.150首次出现,追踪一下http流,发现了一大串东西,重定向的页面也在,应该就是它了,
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析
3) 提取漏洞利用文件。md5 文件哈希是什么?
将刚刚提取出来的文件丢到微步沙箱就可以得到哈希值了

上一篇:可信计算中的身份鉴别和证明-EK、AIK和DAA


下一篇:EK最小费用最大流