恶意流量分析训练九
通過該實驗了解惡意流量取證分析基本方法,本次實驗主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根據分析文章解密惡意文件等知識。
這次實驗給出了一個數據包。
我們直接打開
可以看到有nbns的流量
自然就先過濾出nbns的流量來得到host name等信息
通過nbns流量可以分析出ip為10.3.162.105對應的host name為OWEN-PC,其mac地址為78:2b:cb:1a:b2:08,是dell的電腦
?
接下來看看http和https的流量
可以看到用戶首先登陸了谷歌郵箱,之后下載了一個zip壓縮文件,從名稱看出是efax message.
?
?
Efax指的是網絡傳真,不過此處下載的是正常的文件還是偽裝的惡意文件我們暫時還無法判斷。不過結合之前的分析經驗,以及用戶在下載該文件前登陸了谷歌郵箱,我們可以推測有可能是通過釣魚郵件誘使用戶下載的惡意文件。
之后,經過不多的幾條走443的加密流量后,可以看到主機下載了一些文件
其中包括js文件、exe文件,這些都是很常見的惡意軟件的載體
?
我們在告警日志中注意到有指向目的ip為205.234.186.115的流量
在數據包中過濾出來看看
跟蹤tcp流
這里的host指流量指向的被訪問的網址,結合告警日志可知這個域名與Fiesta EK有關,而referer指的是是從www.disclose.tv鏈接過來的,這表明www.disclose.tv已經被黑客攻陷了,然后被惡意定向到了wnnvpim.ddsnking.com
我們還可以從user agent中判斷出更多東西
將user-agent復制出來,在這個網站查詢
https://developers.whatismybrowser.com/useragents/parse/#parse-useragent
結果如下
從結果中可以看出運行的IE8瀏覽器
結合feista ek進行搜索
?
可以看到Feista EK確實能夠針對IE8發起攻擊
我們查看這篇分析Fiesta Exploit Kit工作機理的文章:http://blog.0x3a.com/post/110052845124/an-in-depth-analysis-of-the-fiesta-exploit-kit-an
?
?
?
一般來說,這些攻擊套件都會利用很多cve,我們按照cve關鍵字搜索與ie有關的cve,并且是集成在Fiesta EK中的
該文章針對捕獲到的樣本反混淆后,比較接近源碼,下圖是我使用cve關鍵字搜索到與IE有關的部分
所以我們可以推測,這次攻擊可能就是Fiesta EK利用cve-2013-2551進行攻擊IE的行為。
那么從給出的流量中能找到些蛛絲馬跡印證我們的想法嗎?
我們先去找些有關cve-2013-2551的分析文章,可以直接看我找到的這篇
https://dangokyo.me/2017/11/18/analysis-on-cve-2013-2551/
看看cve-2013-2551有哪些特征
我們看看這個poc
再會過頭去看使用http.request and ip.addr eq 205.234.186.115過濾出的流量,跟蹤tcp流,選中第三條跟蹤
可以看到符合分析文章里的poc的一些特征
這里簡單說一下,我為什么把vml選做特征,因為cve-2013-2551就是IE VML整數溢出漏洞,所以選擇vml作為特征字符串在poc與流量進行比對。
?
跟蹤過濾出的第四條流量
從content-type,content-length可以判斷Fiesta發送了393kb的payload
注:
如果對content-type不熟悉可以從這兒學習:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/MIME_types
這次分析的octet-stream是屬于未知的應用程序文件
?
?
我們可以將前面感覺是惡意文件的那個壓縮文件導出從而進一步的分析
?
將其解壓后計算md5
然后根據md5搜索
很明顯是惡意文件
?
我們還可以從數據包中提取出payload
之前提到這些payload是混淆過的,所以我們需要解密,在這篇關于fiesta ek的分析文章中給出了解密腳本
腳本如下
?
將代碼復制到kali的decrypt.py中
運行一下,看看用法
?
按照格式輸入
運行后即可解密得到out.exe
?
這里我們是看分析文章推測是exe文件,既然已經解密了我們就可以使用file查看確認一下
然后計算md5
搜索這一串md5
?
確實是惡意軟件
?
。
?
總結
- 上一篇: [转] Xcode 高级调试技巧
- 下一篇: 服务器三个子系统,配网自动化系统组成,配