恶意流量分析训练五

最新推荐文章于 2024-06-16 18:09:47 发布
原创 最新推荐文章于 2024-06-16 18:09:47 发布 · 2.7k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一次恶意流量分析实验,详细解析了如何识别主机感染时间、类型、感染源及受感染指标,涵盖HTTP分析、恶意文件导出、hash计算、病毒库查询、SSL流量解密等关键技术。

通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。

 

 

 

本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等)

 

前面的分析经验告诉我们,首先看http,https的流量,基本大多数的攻击流程都是通过网页挂马或者钓鱼之类的活动诱使受害者主机有意或无意地下载恶意软件,然后在主机上打开其他端口通信或者伪装为正常浏览通信,或者通过dhcp,icmp等隧道通信。不论怎样,最开始的步骤 一定是和http,https有关的,所以先过滤出对应的流量。

 

在上图中可以看到第二条通过http get方式获取到恶意二进制程序

第三条流量是使用myexternal.com网站查询出口ip

第二个框起来的就是在tcp 447 449端口上的加密通讯流量,我们可以尝试将其作为ssl解密,具体步骤如下:

选择analyze->decode as

点击左下角加号

每个列都可以双击后选择所需的配置

配置如下所示,然后点击ok

最低0.47元/天 解锁文章
恶意流量分析训练
Yale的博客
02-05 2418
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析训练十一
Yale的博客
02-05 1517
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。 我们需要分析分析这个数据包,解答下列问题: 10.0.0.201的mac地址...
恶意流量分析(一)
weixin_41487541的博客
11-26 3145
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
恶意流量分析基础学习
weixin_33826268的博客
11-14 1074
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
[计算机]利用机器学习算法构建高效的在线恶意应用检测系统
Hai_Lang_IT的博客
11-19 2231
[计算机毕业设计]利用机器学习算法构建高效的在线恶意应用检测系统,具有重要的理论和实践意义。首先,研究和应用机器学习技术能够提升对恶意应用的检测能力,使系统具备自我学习和适应新威胁的:一个能够在实时大流量环境下对恶意流量进行检测的系统。这个基于流量频域特征的检测系统能在保证关键信息不丢失的情况下,减少特征的维度和复杂度,从而实现实时检测。不仅如此,由于流量的时域特征表征数据包序列的细粒度连续信息,Wisper能够屏蔽攻击者在流量中插入的噪音所带来的干扰。验证实验的结果表明,Wisper能够到达其预定的目标。
恶意流量监测开源系统:Maltrail
围城
03-09 3390
20210309 - 0. 引言 一般来说,通过IDS来监测一些攻击流量,或者说恶意流量也是可以的;但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量;具体细节我没有深入去研究,例如流量捕获部分到底是什么引擎来启动的。 1. 系统简介 在其Github主页上的介绍来看,该系统的定位是恶意流量监测系统,而其实现的方法就是利用一些开源的情报,来作为IOC,同时自己部署流量探针来实现监测。 从他列举的一些信息来看,能够查看这些内容: 他前文中也提到,主要是通过一些指纹或者什么东西作为数据源。 2.
恶意流量分析训练
Yale的博客
02-04 6097
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2035
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架
03-18
Python基于机器学习的加密恶意流量分析与检测平台源码+文档,前端界面使用Flask框架 随着近年来HTTPS的普及,加密恶意流量攻击的比例也在逐渐提升。根据报告,目前加密通信的恶意软件基本已经覆盖所有的攻击类型,...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
恶意流量可能采用加密、混淆或变形技术,使得分析工具难以识别
最新发布
图幻未来的博客
06-16 1226
根据网络安全领域的通用定义,恶意流量是指未经授权的、具有破坏性或潜在破坏性的计算机通信数据流。恶意流量主要包括病毒、蠕虫、特洛伊木马等恶意软件传播产生的流量,以及黑客发起的DDoS攻击、中间人攻击等网络攻击行为所产生的流量。
网络流量的分析系统c语言,对恶意软件Dridex的流量分析
weixin_32612347的博客
05-24 651
*本文作者:arr0w1,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。前言流量分析需要我们有扎实的网络知识为基础,同时需要具备实际操作的能力和经验。通过写本篇文章,记录下练习流量分析的过程。以便提高从流量上确定感染情况,以及分析溯源等能力。wireshark及其插件WireShark是一款强大的网络协议分析开源软件,它提供了灵活的插件机制,使用户可以方便地扩展wireshark的功能。...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(二)
Ax的博客
09-16 1781
网络空间安全 恶意流量和恶意代码 学习入门(二)
恶意流量分析训练
Yale的博客
02-05 1030
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 7423
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
恶意流量分析训练
Yale的博客
02-05 2782
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
攻防对抗中的加密恶意流量分析技术
weixin_70923796的博客
07-04 689
摘 要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数
极验创始人吴渊:恶意流量威胁新趋势,揭秘网络黑产3大核心本质
优快云云计算
01-26 5260
记者 | 邓晓娟出品 |优快云云计算(ID:优快云cloud)天下没有免费的午餐,更没有免费的流量。以电商为例,最疯狂的时候,某电商平台单个获客成本接近400元。作为互联网的稀缺资源...
如何通过“流量线索”进行恶意程序感染分析
djph26741的博客
08-20 396
流量安全分析):如何通过“流量线索”进行恶意程序感染分析 from:https://www.sec-un.org/traffic-safety-analysis-v-how-to-traffic-trail-for-malware-infections/ 原始PCAP 数...
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值