恶意流量分析训练四

最新推荐文章于 2025-10-24 17:52:03 发布
原创 最新推荐文章于 2025-10-24 17:52:03 发布 · 2.7k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过Wireshark分析局域网内主机的恶意流量,详细介绍了如何使用nbns、smb、dhcp和DNS协议查找主机名,利用Kerberos获取用户名,以及通过HTTP、HTTPS和其他TCP连接识别恶意软件,包括Emotet、NonoCoreRAT、Tempedreve和Globelposter勒索软件。

通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。

任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。

 

 

首先我们要确定局域网内几台主机

Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address

从结果中可以看到共有5台主机

接下来我们需要找到各个ip的主机名

我们前面的实验中知道可以通过nbns来找到主机名

所以尝试使用nbns过滤

第一条发现172.16.1.201发起了一个广播包,在红框中可以看到是域控,主机名为CARLFORECE

继续看第二条

发现不对劲的地方了吗?

主机名还是CARLFORCE,这是怎么回事呢?

我们仔细看这两条包的区别

172.6.1.201发起的是查询包,172.16.1.4发出的是响应包

我们还是去看看RFC文档:https://tools.ietf.org/html/rfc1002。

仔细看看第一条可以看到目的ip为172.16.1.255,说明这是广播包,用于NBNS广播查找

结合报文格式

与我们第一条数据包有关的部分我已经用红框划重点了。结合数据包的实例

可以知道172.16.1.201是在请求查询netbios名为CARLFORCE的机器

Type为NB,表示类型是通用名称服务资源记录(注意,RFC中的0x0020就是10进制的32)

Class为IN,表示类为Internet,一般都是默认的

 

然后分析第二条,第二条是对第一条的响应,我们在RFC文档中可以看到有两种响应,一种是主动的

 

一种是被动的

最低0.47元/天 解锁文章
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 2万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
攻防对抗中的加密恶意流量分析技术
weixin_70923796的博客
07-04 689
摘 要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数
wireshark网络安全流量分析基础
dexi1113的博客
07-06 1188
作为网络流量安全分析的好工具,功能其实也很多,本次分享的只是一些常见功能,如果对网络流量安全分析感兴趣,可以多去使用wireshark研究攻击数据包特征,可以先从简单web攻击数据包开始,再去看看一些窃密、木马、APT相关数据包,后面我也会慢慢分享一些关于分析威胁流量包的文章,也是记录自己的一个学习过程。其他协议相关文件也一样。海量数据中要想能察觉到可疑通信,找到攻击的蛛丝马迹,那就需要对一些端口、协议、请求方式和攻击特征等进行过滤,不断缩小可疑流量范围,才能更好进一步分析达到最终溯源的目的。
Maltrail - 恶意流量检测系统
最新发布
AI工程化、开源分享、文档翻译、代码笔记
10-24 1286
一、关于 Maltrail 1、项目概览 2、相关链接资源 3、功能特性 二、安装配置 三、使用示例 1、基本检测测试 2、DNS检测测试 、架构设计 五、最佳实践 其它 参考项目 参考文献
Wireshark流量分析
m0_69435261的博客
08-26 2997
在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。pcap流量包的分析通常都是通过图形化的网络嗅探器——wireshark进行的,这款嗅探器经过众多开发者的不断完善,现在已经成为使用最为广泛的安全工具之一。接下来,斗哥来为大家讲解这款工具的基本使用。
恶意流量分析(一)
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
一些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1658
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
合天恶意流量分析
GrapeSour的博客
07-10 345
任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先查看局域网内有几台主机 统计->Conversations->ipv4 所以确定有总共5台,分别为 172.16.1.67 172.16.1.89 172.16.1.141 172.16.1.201 172.16.1.255 ...
恶意流量分析训练
Yale的博客
02-04 6096
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2794
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析训练
Yale的博客
02-05 2033
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析训练
Yale的博客
02-05 2417
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
恶意流量分析资料
weixin_33735077的博客
11-14 915
(1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)一些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:https://blog.51cto.com/antivirusjo/1981603...
基于机器学习的恶意软件加密流量检测研究分享
Yuan's Blog
09-28 5788
1 概述2 恶意软件加密流量介绍3 加密HTTPS流量解析4 特征工程5 模型效果6 具体实施7 总结 1 概述 近年来随着HTTPS的全面普及,为了确保通信安全和隐私,越来越多的网络流量开始采用HTTPS加密,截止今日,超过65%的网络流量已使用https加密。 HTTPS的的推出,主要是为了应对各种窃听和中间人攻击,以在不安全的网络上建立唯一安全的信道,并加入数据包加密和服务器证书验证。但是随着所有互联网中加密网络流量的增加,恶意软件也开始使用HTTPS来保护自己的通信。 ...
【研究型论文】结合多特征识别的恶意加密流量检测方法(中文论文_信息安全学报)
一个努力生活的人的博客
09-27 5038
信息安全学报_结合多特征识别的恶意加密流量检测方法(中文论文)
恶意加密流量检测
全网120W+关注AI拉呱,专注人工智能以及科技前沿!
11-29 967
互联网的加密数据逐年上升,Gartner估计2019年80%以上的是加密流量.传统的安全产品已无法满足现有的安全态势需求,如何利用机器学习快速检测未知威胁,并尽快做出响应,是网络安全态势感知中的关键问题。目前行业的方法主要分为3类:基于统计学习方法,基于joy工具提取特征的分类方法,基于pcap转图像的分类方法.“TLS 恶意流量”指采用 TLS (TLS,transport layer security)协议加密的恶意流量。TLS 协议是由握手协议、记录协议、更改密文协议和警报协议组成的。
恶意软件流量检测系统
weixin_33712987的博客
01-12 1015
maltrail是一个通过流量监测出恶意软件的程序,通过公开的含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文件名来判断是否遭受了恶意软件的感染。https://github.com/stamparm/maltrail 转载于:https://blog.51cto.com/0x007/17343...
恶意流量检测(七)
m0_61980970的博客
10-10 1484
BARS 可以用于其他基于深度学习的异构表格数据分析系统(例如,恶意软件检测[12]、垃圾邮件URL检测、KPI异常检测)。然而,BARS不能用于序列数据分析系统(如日志异常检测[18], )和图数据分析系统(如横向移动检测),因为它们的鲁棒性保障的形式化分析与表格数据系统不同。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值