恶意流量分析训练三

Wireshark恶意流量分析实战
最新推荐文章于 2024-02-23 06:10:01 发布
原创 最新推荐文章于 2024-02-23 06:10:01 发布 · 2.4k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过Wireshark分析了一次具体的恶意流量案例,详细解析了如何确定用户信息、感染的恶意软件类型及其感染途径,包括Locky Ransomware、Angler EK和CryptXXX Ransomware。

了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。

 

 

试根据给出的数据包等文件,分析解答如下问题

Q1:用户的姓名?

Q2:用户windows机器的主机名?

Q3:用户windows主机的ip地址?

Q4:用户电脑的mac地址?

Q5:用户被感染了哪些恶意文件?

 

打开wireshark上方的菜单,统计-》ipv4 statics->all address,如图所示

可以看到通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136

那么主机名该如何找到呢?我们先来看看数据包都有哪些协议。

我们知道NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名

所以选中一条nbns的数据

红框定位的就是

最低0.47元/天 解锁文章
恶意流量分析训练
Yale的博客
02-05 2794
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析训练十一
Yale的博客
02-05 1517
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。 我们需要分析分析这个数据包,解答下列问题: 10.0.0.201的mac地址...
恶意流量分析
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
合天恶意流量分析
GrapeSour的博客
07-08 244
统计->ipv4 statics->all address,如图所示 发现通信流量基本全部是由10.0.21.136发起的,所以用户主机的ip地址是10.0.21.136 NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法。所以通过NBNS协议我们可以找到主机名 所以选中一条nbns的数据 这个为mac地址和主机名 查询用户名的话,查http的请求
日志分析系统分类有哪些_恶意流量分析训练
weixin_40001275的博客
12-05 303
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。试根据给出的数据包等文件,分析解答如下问题Q1:用户的姓名?Q2:用户windows机器的主机名?Q3:用户windows主机的ip地址?Q4:用户电脑的mac地址?Q5...
恶意流量分析训练
Yale的博客
02-04 6096
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2033
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
精选资源
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架
最新发布
03-18
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,...
恶意流量分析基础学习
weixin_33826268的博客
11-14 1074
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量练习题之2014-12-04-traffic-analysis-exercise
信息安全
08-05 1426
文章目录pacp包地址问题与回答BASIC QUESTIONSMORE ADVANCED QUESTIONSEXTRA QUESTIONS pacp包地址 https://www.malware-traffic-analysis.net/2014/12/04/2014-12-04-traffic-analysis-exercise.pcap.zip 问题与回答 BASIC QUESTIONS What is the IP address of the Windows host that gets inf
malware:这是一个恶意软件分析项目,期望通过恶意网络流量生成snort规则
07-04
动态恶意软件分析 这是一个恶意软件分析项目,期望通过恶意网络流量生成snort规则 需求包 :用于创建沙箱。 : 用于解析网络数据包。 : 用于向发送请求 VirtualBox中的隔离环境 拍摄快照(手动) 将恶意软件复制到虚拟机中 激活恶意软件 记录虚拟机中的网络流量(保存在主机中)i 恢复快照(即转到第 0 步) 用法 隔离环境使用 显示帮助信息 $ python sandbox_run.py -h usage: sandbox_run.py [-h] [-n NAME] [-t TIME] [-m MALWARE] This is a automatic script which record malware network behavior in the isolation environment. optional arguments: -h, --help
恶意流量练习题之2015-01-09-traffic-analysis-exercise
信息安全
09-23 828
文章目录pacp包地址问题与回答BASIC QUESTIONSEXTRA QUESTIONS pacp包地址 http://www.malware-traffic-analysis.net/2015/01/09/2015-01-09-traffic-analysis-exercise.pcap.zip 问题与回答 BASIC QUESTIONS What is the date and time of this activity? 抓包的时间是2015.1.6 00:24-00:26 What is
恶意流量分析(一)
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
如何在网络流量分析中,区分正常流量和恶意流量
图幻未来的博客
02-23 1877
综上所述, 在网络流量分析过程中采用多种方法的组合可以有效提高您对正常和不正常访。
恶意流量分析训练
Yale的博客
02-05 2780
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
Wireshark流量分析例题
middlecorn的博客
09-02 1253
这里第一个问题的答案就出来了,受害主机网卡IP是192.168.1.8 ,202.1.1.2为攻击IP。所以我们直接过滤POST请求,发现这个IP请求了一个名为kkkaaa.php的php文件,很可疑。解码后发现执行了dirname函数,目的是查看当前路径下的文件或目录,类似linux下的ls命令。这里他上传的一句话木马应该是 <?没有头绪的话来分析下过滤出来的这几个包,其他参数都一样,重要的是Length这个字段。时间的话,ctrl+f,选择分组详情,选择字符串,搜索time字符串,时间就出来了。
Wireshark 分析常见 Web 攻击的流量特征
weixin_51559599的博客
12-08 9909
攻击者在输入字段中插入恶意的 SQL 语句,实现对数据库的增删改查。可以在 http 请求中通过查找 SQL 注入语句中的 union、select、sleep 等关键字来判断 SQL 注入的流量dvwa SQL Injection low 为例poc筛选目的 ip 为靶场服务器并且为 http 的流量找到 SQL 请求的 http 报文可以看到unionselectdatabase等 SQL 注入的关键字解码后即可看到原始 poc。
【流量捕获】Wireshark使用,ARP缓存攻击、DNS缓存攻击、SSL攻击
weixin_55205599的博客
08-19 910
正常情况下,交换机只会让我们收到原本就是发给我们的数据包,需使用技术手段,让它们相信本不该发给我们的数据包可以发给我们。任何主机都可以回应这种广播“谁的IP地址是192.168.20.11”一类的ARP解析请求,哪怕他们的IP是192.168.20.12甚至其他地址。进行ARP缓存攻击,欺骗A、C,让它们把数据包发送到B,使用wireshark截获A、C的数据包。注意:ARP缓存攻击前,A的ARP缓存中已经存有C的条目。Arpspoof立即向A发送ARP应答,告诉C的网卡使用的是B的MAC地址。
wireshark-协议分析【初见】(NBNS协议,SSDP协议、IGMPv2)
热门推荐
bin789456的博客
02-06 1万+
(均使用的vmware虚拟机平台)该系列并不会太关注wireshark的用法,重点关注协议交换时数据包的情况。需要注意的是,一开始工作时,选好需要捕获流量的网卡。默认情况下会捕获所有网卡(带混杂模式)的流量,数据包会非常多简单介绍一下混杂模式,混杂模式就是接收所有经过网卡的数据包,包括不是发给本机的包。默认情况下网卡只把发给本机的包(包括广播包)传递给上层程序,其它的包一律丢弃。简单的讲,混杂模式就是指网卡能接受所有通过它的数据流,不管是什么格式,什么地址的。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括以下几个步骤: 1. 数据采集:通过网络监控设备、IDS/IPS、防火墙等安全设备,收集网络流量数据。 2. 数据清洗和预处理:对采集到的数据进行清洗和预处理,去除不相关的数据和异常数据,以提高建模的准确性。 3. 特征提取:从清洗和预处理后的数据中提取关键特征,例如源IP地址、目标IP地址、端口号、协议类型等等。 4. 模型训练:利用机器学习算法对提取的特征进行训练,构建恶意流量分类模型。 5. 模型评估和优化:对训练好的模型进行评估和优化,以提高模型的准确性和鲁棒性。 6. 部署和应用:将训练好的模型部署到实际网络中,实时监测网络流量并识别恶意流量。 总的来说,恶意流量分析大数据建模是一种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值