合天恶意流量分析五

最新推荐文章于 2022-06-17 17:07:32 发布
原创 最新推荐文章于 2022-06-17 17:07:32 发布 · 242 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细记录了一次恶意软件感染事件的调查过程。通过MAC地址追踪,发现感染发生在2018年4月10日晚上,由http请求从caveaudeleteatro.it下载的恶意文件导致。该文件被确认为Trickbot恶意软件,通过计算其SHA256哈希值并在Virustotal上查证。整个分析涉及网络流量监控、恶意二进制文件导出和在线安全资源的利用来识别潜在威胁。

任务

感染日期/时间
谁被感染(IP 地址、主机名、MAC 地址和用户帐户名)
涉及哪些恶意软件
这种感染的可能来源
与此感染相关的指标(IP 地址、域、URL 和文件哈希,如果有)

在这里插入图片描述
mac地址 00:30:67:f1:2d:63
通过查询nbns流量得到
在这里插入图片描述
之后也是正常操作,查看http和https

在这里插入图片描述
发现第二条通过http get方式获取到恶意二进制程序
第三条是使用myexternal.com网站查询出口ip
在这里插入图片描述

前面提到通过http get方式拿到了恶意二进制文件,我们可以尝试将其导出
在这里插入图片描述
将他导出,发现
在这里插入图片描述
那就管不了了
下面复制wp的

其中有一步是这样做的,就是查看感染的时间
在首选项中,进行搜索
在这里插入图片描述

在这里插入图片描述
然后我们可以通过计算它的sha256哈希去virustotal看看这是否是可疑文件
在这里插入图片描述
打开virustotal

search然后在输入框中输入hash值

在这里插入图片描述

点击右边的放大镜搜索

搜索结果如下

在这里插入图片描述

在这里插入图片描述

从下面的comment可以看出这可能是trickbot恶意软件

接下来我们看看是什么时候从哪儿感染的trickbot

在这里插入图片描述

可以看到书2018-04-10的晚上8点14分通过http请求,从caveaudeleteatro.it获取恶意文件感染的

恶意软件分析
Sumarua的博客
05-09 1069
这个列表记录着那些令人称赞的恶意软件分析工具和资源。受到 awesome-python 和 awesome-php 的启迪。
国科大网络协议安全大作业——分析流量并使用Snort规则进行检测_snort检测pcap中的恶意流量
2301_82257383的博客
05-02 937
全称叫做packet capture,即抓到的包,被导出来,形成文件,文件就是.pcap格式,哈哈哈不是那种导出来。
流量分析
chanbeng5693的博客
08-02 744
分 析 报 告数据包: LAN SEGMENT属性:IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)网关IP:10.1.75.1广播IP:10.1.75.255域控制器(DC):PixelShine-DC,10.1.75.4域名:pixelshine.net 需求: 说明这种感染的时间和日期。确定受感染的Windows客户端的IP地址。确定受感染的Win...
恶意流量分析训练
Yale的博客
02-05 2799
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
计算文件的SHA256哈希值
J6wuli的博客
09-26 2537
#include <iostream> #include <openssl/sha.h> #include <string> #include <string.h> #include <vector> #include <fstream> using namespace std; std::vector<char> readfile(const char* filename) { std::vector<char
malware-traffic-analysis 2014-11-16 流量分析和恶意代码分析
weixin_46578840的博客
11-02 1300
流量包下载 题目: 第 1 级问题: 1) 被感染的 Windows 虚拟机的 IP 地址是多少? 2) 被感染的 Windows 虚拟机的主机名是什么? 3) 受感染虚拟机的 MAC 地址是多少? 4) 受感染网站的 IP 地址是什么? 5) 被入侵网站的域名是什么? 6)提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么? 第 2 级问题: 1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么? 2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪
usg6620 查看端口流量_恶意流量分析训练
weixin_39694016的博客
12-05 477
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等)前面的分析...
恶意流量分析
GrapeSour的博客
07-08 368
恶意流量分析一 首先我们查看数据包,发现有很多包,没有头绪,就先查看告警日志 第一条 收到whatismyaddress.com的请求 这是一个正常流量,是查看我们的出网端口的ip地址 第三条 是一个FTP stor的命令 这个命令是用于存储文件到服务器上,这里提示的是连接到外部网络,所以可以推测,如果存在恶意软件的话就是通过ftp协议将数据传输到他的外网服务器上 第四条 是一个Hawkeye Keylogger的一个木马 用键盘记录器发送数据 所以通过以上分析,可以使用ftp过滤协议
恶意流量分析
GrapeSour的博客
07-13 772
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
恶意流量分析训练一
Yale的博客
02-04 6099
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意软件分析资料大
我在全球村
05-31 3036
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
如何获取散列哈希值?sha256在线生成工具,这一个就够用
m0_69916115的博客
06-17 5315
sha256在线生成工具(md5.cn)这个平台还有在线批量解密的功能,无论多庞大的数据,我们都能批量处理,极大的提高了工作效率,该功能也受到多数用户的喜欢。
恶意流量分析训练三
Yale的博客
02-05 2425
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
使用Uchihash处理恶意软件中的嵌入式哈希
weixin_43977912的博客
10-12 431
关于Uchihash Uchihash是一款功能强大的实用工具,可以帮助广大研究人员处理和分析嵌入在恶意软件之中的各种哈希,以节省恶意软件分析所需的时间。 Uchihash支持的分析内容如下: 动态导入API(尤其是Shellcode中的); 检测正在运行的进程(分析工具的进程,反分析机制); 检测虚拟机或反病毒工具(反分析机制); Uchihash可以使用广大研究人员自己定义的哈希算法生成哈希,在已生成的哈希映射中搜索哈希列表,还可以生成一个IDAPython脚本,并用相应的值对哈希进行注释,以便研究人员
mamba-ssm-2.2.2-cp310-cp310-win-amd64.whl+安装环境+测试脚本.7z
最新发布
12-15
编译环境: vs2022 win10 x64 anaconda3+python3.10 torch==2.3.1+cu118 cuda11.8.0+cudnn8.9.7 triton==2.1.0 causal_conv1d==1.4.0 mamba==2.2.2 RTX2070显卡 注意编译的whl是不能用于RTX50显卡的,可以用于RTX20-RTX40系列显卡,安装时候尽量和模块一致
toplus1s_calculator_32040_1765656584703.zip
12-15
toplus1s_calculator_32040_1765656584703.zip
【创新无忧】基于多元宇宙优化算法MVO优化相关向量机RVM实现数据多输入单输出回归预测附matlab代码.zip
12-15
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)
12-15
基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究(Matlab代码实现)内容概要:本文围绕“基于可靠性评估序贯蒙特卡洛模拟法的配电网可靠性评估研究”,介绍了利用Matlab代码实现配电网可靠性的仿真分析方法。重点采用序贯蒙特卡洛模拟法对配电网进行长时间段的状态抽样与统计,通过模拟系统元件的故障与修复过程,评估配电网的关键可靠性指标,如系统停电频率、停电持续时间、负荷点可靠性等。该方法能够有效处理复杂网络结构与设备时序特性,提升评估精度,适用于含分布式电源、电动汽车等新型负荷接入的现代配电网。文中提供了完整的Matlab实现代码与案例分析,便于复现和扩展应用。; 适人群:具备电力系统基础知识和Matlab编程能力的高校研究生、科研人员及电力行业技术人员,尤其适从事配电网规划、运行与可靠性分析相关工作的人员; 使用场景及目标:①掌握序贯蒙特卡洛模拟法在电力系统可靠性评估中的基本原理与实现流程;②学习如何通过Matlab构建配电网仿真模型并进行状态转移模拟;③应用于含新能源接入的复杂配电网可靠性定量评估与优化设计; 阅读建议:建议结文中提供的Matlab代码逐段调试运行,理解状态抽样、故障判断、修复逻辑及指标统计的具体实现方式,同时可扩展至不同网络结构或加入更多不确定性因素进行深化研究。
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)
12-15
基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)研究(Matlab代码实现)内容概要:本文介绍了基于控制李雅普诺夫-屏障函数(CLBF)与分布式模型预测控制(DMPC)的电力系统优化控制研究,并提供了相应的Matlab代码实现。该研究聚焦于提升含光热电站电力系统的安全性与稳定性,特别计及N-k安全约束,通过结CLBF的稳定性保证能力和DMPC的分布式协同优化优势,实现对复杂电力系统的高效、可靠控制。文中还展示了多个相关
metasploit实验
03-19
### Metasploit 实验教程使用指南 #### 一、Metasploit 基础介绍 Metasploit 是一款功能强大的开源渗透测试框架,被广泛应用于网络安全评估和漏洞利用研究中。其流行的原因在于可以执行多种安全测试任务,极大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值