恶意流量分析训练八

最新推荐文章于 2025-11-21 09:54:11 发布
原创 最新推荐文章于 2025-11-21 09:54:11 发布 · 1.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过实战案例,详细解析了如何分析邮件附件中的潜在威胁,包括邮件钓鱼、伪造、恶意脚本等,展示了如何通过流量特征、病毒扫描和逆向工程等技术定位受感染的电脑。

通过该实验通过分析多个eml文件,并根据附件文件进行分析,结合在线分析引擎给出的流量特征结合比对掌握分析技术,本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。

 

给出使用给出了大量邮件附件,请分析判断哪封邮件感染了Marcus的电脑,哪封邮件感染了Marion的电脑

先来看MARCUS

先使用http.request过滤

可以看到主要有两个可疑的地方:

185.165.29.36—GET /trolls.jpg

myexternalip.com—GET /raw

先看第一个疑点,跟踪其tcp流

 

可以看到http头部没有user-agent,而一般正常的http流量都是应该要有的。第二点在上图红圈可以看出这是一个可执行文件而不是conten-type指出的图像文件。这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行

 

 

第二个疑点是因为这个网站是用于查询ip的

而且跟踪tcp流

 

发现同样没有user-agent,也是不正常的

 

 

接下来看看其他的,比如看有没有异常的tcp连接,可以先过滤出tcp syn包

可以看到在前面找到的异常流量之间,我们发现了443,9001端口的流量,我们知道https常会走443,tor常会走9001,也就是说,这两个端口的流量可能是https/ssl/tls加密过的

我们将https server name应用为列然后使用ssl.handshake.extensions_server_name作为过滤条件

可以看到一些奇怪的server name

将这个数据包上传到virustotal分析,看到suricata的结果

最低0.47元/天 解锁文章
knn聚类还是分类_机器学习之KNN检测恶意流量
weixin_40000131的博客
12-25 403
背景任何智能活动的都可以称为人工智能,而机器学习(Machine Learning)属于人工智能的一个分支,深度学习(Deep Learning)则是机器学习的分支。近年来,随着基础设施的完善,海量大数据的积累,机器学习方法理论越来越成熟,算力的大幅度提升,互联网企业也越来越愿意增大在AI领域的投入,AI的优势在于处理海量数据提取捕获其中有用信息上发挥着非常重要的作用,如OCR领域图片鉴...
恶意流量分析训练
Yale的博客
02-05 2035
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析资料
weixin_33735077的博客
11-14 915
(1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)一些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:https://blog.51cto.com/antivirusjo/1981603...
文章阅读:机器学习检测HTTP恶意外连流量
围城
03-21 1449
2020/03/21 - 阅读文章[1]的总结。 [1]这篇文章是,利用层次聚类的方法来聚类恶意外联流量。 恶意外联流量,就是受控主机向控制者发送请求,或者传递信息的流量;针对这种流量的检测方案有两种:1)利用黑名单过滤恶意域名2)利用规则匹配来匹配恶意流量。黑名单的方式无法防止域名变化,规则匹配需要专业人员的分析,难以检测变种的恶意连接。第一个原因,我能理解,但是第二个总感觉他说的不是非常明...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
恶意流量分析训练
Yale的博客
02-05 1030
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
恶意流量分析训练
Yale的博客
02-04 6097
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2796
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
恶意流量分析训练
Yale的博客
02-05 2418
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析训练
Yale的博客
02-05 2780
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
email-analysis:电子邮件流量分析
07-13
电子邮件分析 使用 Python 分析电子邮件流量 我的公司最近让我有机会使用对我的进行电子邮件范围的分析。 作为数据科学家,我决定运行一些快速分析来弄清楚我的电子邮件中发生了什么; 毕竟,电子邮件是一种实时构建的潜在社交网络。 作为一名优秀的 Python 程序员,我决定走整整 9 码并创建一个应用程序,该应用程序可以处理来自的 CSV 输出并使用 Jinja2 生成统计报告。 作为一个优秀的开源人员 - 我使用创建了集成测试,这是一个结构良好的存储库,并在上开源。 这是结果。 用法 这个包需要来自 MineMyMail 的 CSV 输出,你可以在fixtures目录中找到一个例子。 此 CSV 文件的有序字段如下: 电子邮件地址 显示名称 名 中间名字 姓 城市 地区 国家 脸书链接 数数 初见 最后一次露面 获得此文件后,只需运行bin目录中的 Python 脚本,如下所示:
合天恶意流量分析
GrapeSour的博客
07-13 769
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
0507一日一恶意代码流量分析
m0_37442062的博客
05-09 677
题目下载 1.分析: 对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起;ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下,Hawkeye键盘记录器使用ftp存储登录凭证,将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。 2.使用filter...
恶意流量分析基础学习
weixin_33826268的博客
11-14 1074
(1)设置捕获选项,选择捕获的网卡,捕获过滤条件。更多的设置可以点击菜单【输出】【选项】,可以设置输出文件大小,可捕获停止。 (2)显示过滤器,刷选关心的协议字段。可以参考expression 一般来说,可以过滤,IP,端口,协议, (3)协议统计 点击统计,选择协议分级统计,可以看到使用的协议统计 查看会话信息,端口IP都可以看的见 ...
恶意流量分析(一)
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)
Ax的博客
09-15 7423
网络空间安全 恶意流量和恶意代码 学习入门(一) 【使用 Wireshark 对数据包处理和分析详解】
恶意流量分析训练十一
Yale的博客
02-05 1517
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。 背景: 你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。 我们需要分析分析这个数据包,解答下列问题: 10.0.0.201的mac地址...
MalRAG:一种基于检索增强大语言模型的开集恶意流量识别框架
最新发布
hao_wujing的专栏
11-21 58
MalRAG:首个基于大型语言模型的开放集恶意流量识别框架 本文提出MalRAG,一个创新性的检索增强框架,用于解决开放集恶意流量识别问题。该框架通过以下核心创新实现突破: 多视角流量知识库:构建包含内容、结构和时间特征的流量数据库,为检索提供全面基础 自适应检索机制: 覆盖增强检索跨多维度搜索相关样本 流量感知剪枝过滤低质量证据 引导式提示工程:结合任务指令、证据引用和决策指导,优化LLM推理 实验表明,MalRAG在CTU-13等真实数据集上: 已知恶意流量识别F1达0.93-0.99 新型恶意流量发现
恶意流量练习题之2014-12-04-traffic-analysis-exercise
信息安全
08-05 1426
文章目录pacp包地址问题与回答BASIC QUESTIONSMORE ADVANCED QUESTIONSEXTRA QUESTIONS pacp包地址 https://www.malware-traffic-analysis.net/2014/12/04/2014-12-04-traffic-analysis-exercise.pcap.zip 问题与回答 BASIC QUESTIONS What is the IP address of the Windows host that gets inf
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括以下几个步骤: 1. 数据采集:通过网络监控设备、IDS/IPS、防火墙等安全设备,收集网络流量数据。 2. 数据清洗和预处理:对采集到的数据进行清洗和预处理,去除不相关的数据和异常数据,以提高建模的准确性。 3. 特征提取:从清洗和预处理后的数据中提取关键特征,例如源IP地址、目标IP地址、端口号、协议类型等等。 4. 模型训练:利用机器学习算法对提取的特征进行训练,构建恶意流量分类模型。 5. 模型评估和优化:对训练好的模型进行评估和优化,以提高模型的准确性和鲁棒性。 6. 部署和应用:将训练好的模型部署到实际网络中,实时监测网络流量并识别恶意流量。 总的来说,恶意流量分析大数据建模是一种高效、准确的网络安全技术,可以帮助网络安全人员及时发现和应对网络攻击,保障网络的安全稳定。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值