恶意流量分析训练一

最新推荐文章于 2025-05-29 14:41:14 发布
原创 最新推荐文章于 2025-05-29 14:41:14 发布 · 6k 阅读 · 49 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。

 

 

场景:

局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255)

域: beguilesoft.com

域控:10.0.0.10 - BeguileSoft-DC

局域网网关:10.0.0.1

局域网广播地址:10.0.0.255

 

任务:

分析现有的材料,针对受害的windows主机写一份应急报告。建议的模板如下:

 

    总结:

 

        在xx时间, 一台window主机被xx感染

 

    细节:

 

        IP address:

        MAC address:

        Host name:

        Windows user account name:

 

    入侵指标IOC(Indicators of Compromised):

 

        [URLs, domains, IP addresses, and SHA256 hashes related to the infection should appear in this section]

 

 

提供了两个压缩文件,分别是告警日志和数据包

解压后分别如下所示

数据包打开如下所示

 

涉及到很多协议,现在还没有头绪,我们先来看看告警日志

 

第一条是到whatismyaddress.com的请求,这不一定是恶意软件产生的流量

第三条是使用到了ftp STOR,该命令用于存储文件到服务器上,这里提示是连接到外部网络,所以我们推测可能是恶意软件通过ftp协议将数据传输到其外网服务器上

最低0.47元/天 解锁文章
攻防对抗中的加密恶意流量分析技术
weixin_70923796的博客
07-04 689
摘 要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数
恶意流量分析训练
Yale的博客
02-05 2794
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
恶意流量分析训练
Yale的博客
02-05 1517
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有些torrent流量是合法的。 我们需要分析分析这个数据包,解答下列问题: 10.0.0.201的mac地址...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中定包含恶意行为的痕迹,首先打开报警文件进行分析
恶意流量分析训练
Yale的博客
02-05 2417
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析训练
Yale的博客
02-05 2033
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析训练
Yale的博客
02-05 2780
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
恶意流量分析基础学习
weixin_33826268的博客
11-14 1074
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量分析资料
weixin_33735077的博客
11-14 915
(1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:https://blog.51cto.com/antivirusjo/1981603...
合天恶意流量分析
GrapeSour的博客
07-13 769
为每个 pcap 起草份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
恶意流量分析训练
Yale的博客
02-05 1030
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到些http流量并不是标准端口,并且有些...
些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1658
Trickbot 是种自 2016 年以来直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
恶意Bot流量识别分析实践
WangsuSecurity的博客
09-19 2074
在当今数字化时代,恶意Bot流量已成为威胁网络安全和数据隐私的主要挑战之。通过对IP地址、请求头和TLS指纹的综合分析,我们能够更有效地识别和防范恶意Bot的活动。
深入解析:恶意流量检测平台 - 防护网络安全的新利器
gitblog_00017的博客
04-21 828
深入解析:恶意流量检测平台 - 防护网络安全的新利器 去发现同类优质开源项目:https://gitcode.com/ 在当今数字化社会中,网络安全日益重要。面对层出不穷的网络威胁,个高效的恶意流量检测系统是守护数据安全的关键。今天,我们将介绍个开源项目——恶意流量检测平台,它利用先进的技术手段,帮助我们实时监控并识别网络中的异常行为。 项目简介 该项目是个基于Python构建的恶意流量检测...
恶意流量分析训练
Yale的博客
02-05 1636
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。 这次实验给出了个数据包。 我们直接打开 可以看到有nbns的流量 自然就先过滤出nbns的流量来得到host name等信息 通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN...
使用 wireshark 高效,准确地鉴别出入站的恶意流量
Rodney443220的专栏
02-12 9315
转载 http://shayi1983.blog.51cto.com/4681835/1598656 这篇博文实际上是 http://shayi1983.blog.51cto.com/4681835/1558161 的继续,讲解些实用的数据包分析技巧,帮助安全架构师们迅速,准确地定位那些恶意的数据包; 在分秒必争的安全突发事件与安全取证工作中,这些高效的方法显得
Wireshark进阶技巧:通过DNS查询来分析可疑流量中恶意软件感染事件(非常详细)从零基础入门到精通,收藏这篇就够了
最新发布
Javachichi的博客
05-29 1028
通过以上步骤,咱们就能搞清楚告警的原因,找到处置方法。大胆假设,小心求证!限制对公网IP检查服务的访问。监控类似C2的流量。记住,安全无小事,防患于未然!```黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习门新的技术,作为新手定要先学习成长路线图方向不对,努力白费。
恶意流量识别不准确:策略无法准确区分恶意和正常流量
ZOMO的博客
01-25 1176
本文针对网络中常见的恶意流量识别问题展开讨论和分析。首先从恶意流量的特征入手,然后深入剖析当前市场上主流防火墙的策略管理能力及其不足;最后提出了针对性的改进措施以帮助用户实现更准确的恶意流量识别和管理。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括以下几个步骤: 1. 数据采集:通过网络监控设备、IDS/IPS、防火墙等安全设备,收集网络流量数据。 2. 数据清洗和预处理:对采集到的数据进行清洗和预处理,去除不相关的数据和异常数据,以提高建模的准确性。 3. 特征提取:从清洗和预处理后的数据中提取关键特征,例如源IP地址、目标IP地址、端口号、协议类型等等。 4. 模型训练:利用机器学习算法对提取的特征进行训练,构建恶意流量分类模型。 5. 模型评估和优化:对训练好的模型进行评估和优化,以提高模型的准确性和鲁棒性。 6. 部署和应用:将训练好的模型部署到实际网络中,实时监测网络流量并识别恶意流量。 总的来说,恶意流量分析大数据建模是种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。
评论 5
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值