恶意流量分析训练九

最新推荐文章于 2025-05-29 14:41:14 发布
原创 最新推荐文章于 2025-05-29 14:41:14 发布 · 1.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。

这次实验给出了一个数据包。

我们直接打开

可以看到有nbns的流量

自然就先过滤出nbns的流量来得到host name等信息

通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN-PC,其mac地址为78:2b:cb:1a:b2:08,是dell的电脑

 

接下来看看http和https的流量

可以看到用户首先登陆了谷歌邮箱,之后下载了一个zip压缩文件,从名称看出是efax message.

 

 

Efax指的是网络传真,不过此处下载的是正常的文件还是伪装的恶意文件我们暂时还无法判断。不过结合之前的分析经验,以及用户在下载该文件前登陆了谷歌邮箱,我们可以推测有可能是通过钓鱼邮件诱使用户下载的恶意文件。

之后,经过不多的几条走443的加密流量后,可以看到主机下载了一些文件

其中包括js文件、exe文件,这些都是很常见的恶意软件的载体

 

最低0.47元/天 解锁文章
攻防对抗中的加密恶意流量分析技术
weixin_70923796的博客
07-04 689
摘 要:随着网络的不断发展,安全需求的不断提升,加密技术成为保障流量安全的首选,但同时也带来了加密恶意流量的激增,面对复杂多变的网络环境,如何在不解密条件下快速识别其中的恶意流量对提升网络安全防护能力具有重要的意义。以恶意流量分类为研究基础,梳理目前比较流行的加密恶意流量分析识别技术,聚焦基于单维特征和多维特征的流量识别方法,探讨前沿技术在加密恶意流量分析领域的应用研究,为后续研究指出了方向。内容目录:1 研究现状2 恶意流量分类3 关键识别技术3.1 基于单维特征流量分析3.1.1 证书特征3.1.2 数
恶意流量分析训练
Yale的博客
02-05 1030
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Upatre,Dyre,SSL证书、STUN流量、mx记录等。 为了得到host name,先直接过滤出nbns看看 当然是用dhcp也是可以的,为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤 我们这里通过端口过滤 接下来过滤出http请求看看 注意到一些http流量并不是标准端口,并且有些...
恶意流量分析训练
Yale的博客
02-05 2795
通过该实验了解恶意流量分析的基本技能,本次实验涉及包括:从数据包导出文件,hash计算、virurtotal使用、trickbot恶意软件,bootp,kerberos等。 本次任务需要你查出主机受感染的时间、主机的信息(ip,mac,hostname ,user account name),感染什么类型的恶意软件,感染源,受感染的指标(ip,域名,端口,url,文件hash等...
数字取证wireshark流量分析
tzyyyyyy的博客
10-20 3259
网络安全数字分析wireshark流量取证
恶意流量分析(一)
weixin_41487541的博客
11-26 3144
分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量分析也是不可避免的。
恶意流量分析资料
weixin_33735077的博客
11-14 915
(1)wireShark***发现之旅系列文章 (2)https://www.sec-un.org/ 流量安全分析系列文章 (3)一些可以分析的样本,还有作者提供的分析思路 http://malware-traffic-analysis.net/ 转载于:https://blog.51cto.com/antivirusjo/1981603...
恶意流量分析训练
Yale的博客
02-04 6097
通过该实验使用wireshark进行恶意流量分析,主要涉及知识点包括IOC,键盘记录器木马,ftp协议等。 场景: 局域网段范围:10.0.0.0/24(10.0.0.0 到 10.0.0.255) 域: beguilesoft.com 域控:10.0.0.10 - BeguileSoft-DC 局域网网关:10.0.0.1 局域网广播地址:10.0.0.255 任...
恶意流量分析训练
Yale的博客
02-05 2035
通过该实验了解恶意流量分析训练的基本技能,本次实验主要涉及包括:ssdp协议、主机指纹、kerberos、C&C服务器、在线分析引擎hybrid analysis,钓鱼网页等。 本次流量分析,需要回答以下问题: 活动发送的时间,日期 哪台主机发生了什么 indicatirs(指标),包括(ip...
恶意流量分析训练
Yale的博客
02-05 2417
了解使用wireshark进行恶意流量分析,培养流量分析的思维和能力,本次实验涉及知识包括善用搜索引擎、技术分析文章整合、snort日志分析、以及关于Locky ransomware和Angler EK部分攻击流量特征。 试根据给出的数据包等文件,分析解答如下问题 Q1:用户的姓名? Q2:用户windows机器的主机名? Q3:用户windows主机的ip地址? Q4:用户...
恶意流量分析(三)
weixin_41487541的博客
12-08 724
本次分析2016-10-15:在进行溯源工作时应先从报警文件进行分析,报警文件中一定包含恶意行为的痕迹,首先打开报警文件进行分析
一些恶意样本的流量分析学习
weixin_45880501的博客
03-24 1658
Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。
恶意Bot流量识别分析实践
WangsuSecurity的博客
09-19 2075
在当今数字化时代,恶意Bot流量已成为威胁网络安全和数据隐私的主要挑战之一。通过对IP地址、请求头和TLS指纹的综合分析,我们能够更有效地识别和防范恶意Bot的活动。
恶意流量分析训练
Yale的博客
02-05 2780
通过该实验了解使用wireshark进行恶意流量分析的基本流程及操作,同时能够配合互联网上其他公开的工具如在线分析引擎、搜索引擎、安全专家的技术博客等进行全方位的分析。 任务:检查pcap数据包查找出哪台主机感染了什么恶意软件。 首先我们要确定局域网内几台主机 Wireshark加载之后,点击上方菜单统计-》ipv4 statistics-》all address 从结果中可以...
合天恶意流量分析
GrapeSour的博客
07-13 769
为每个 pcap 起草一份事故报告。使用电子邮件找出每次感染的恶意软件。您的两份事件报告中的每一份都应包括: 以UTC (GMT) 表示的恶意活动的日期、开始时间和结束时间。 pcap 中 Windows 主机的 IP 地址。 pcap 中 Windows 主机的 Mac 地址。 pcap 中 Windows 主机的主机名。 记录了哪些类型的恶意活动。 恶意活动指标(IP地址、域名、文件哈希等)。 对发生的事情的总结。 给出了两个eml文件,先下载查看器 apt-get install thunderb.
深入解析:恶意流量检测平台 - 防护网络安全的新利器
gitblog_00017的博客
04-21 829
深入解析:恶意流量检测平台 - 防护网络安全的新利器 去发现同类优质开源项目:https://gitcode.com/ 在当今数字化社会中,网络安全日益重要。面对层出不穷的网络威胁,一个高效的恶意流量检测系统是守护数据安全的关键。今天,我们将介绍一个开源项目——恶意流量检测平台,它利用先进的技术手段,帮助我们实时监控并识别网络中的异常行为。 项目简介 该项目是一个基于Python构建的恶意流量检测...
Wireshark进阶技巧:通过DNS查询来分析可疑流量中恶意软件感染事件(非常详细)从零基础入门到精通,收藏这篇就够了
最新发布
Javachichi的博客
05-29 1028
通过以上步骤,咱们就能搞清楚告警的原因,找到处置方法。大胆假设,小心求证!限制对公网IP检查服务的访问。监控类似C2的流量。记住,安全无小事,防患于未然!```黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费。
恶意流量识别不准确:策略无法准确区分恶意和正常流量
ZOMO的博客
01-25 1176
本文针对网络中常见的恶意流量识别问题展开讨论和分析。首先从恶意流量的特征入手,然后深入剖析当前市场上主流防火墙的策略管理能力及其不足;最后提出了针对性的改进措施以帮助用户实现更准确的恶意流量识别和管理。
检测恶意流量的相关方法
m0_67813920的博客
05-22 393
相关性分析主要有两种途径。一个值得注意的例子是加密服务器名称指示(ESNI)扩展,它加密客户端请求的服务器名称,并保持用户浏览数据的私密性。基于解密的方法对加密的内容进行解密以供检查,这降低了连接安全性,引入了额外的攻击向量,并且需要额外的计算时间和延迟。Wilkens等人主张采用被动和透明的TLS解密解决方案,通过选择性地将TLS密钥转发给受信任的服务器,以实现选择性解密以进行取证分析,而不是过早拦截TLS连接。无论如何,基于解密的方法的想法与加密技术的基本原则相对立,提出了有关安全和隐私的问题。
怎样从大量流量中准确挑出恶意流量
图幻未来的博客
07-31 774
随着互联网的快速发展,网络攻击手段也在不断演变,网络安全问题日益严重。恶意流量识别已成为网络安全领域的重要研究内容之一。本文首先介绍了恶意流量的概念、来源及危害,然后分析了目前主流的恶意流量检测方法,最后探讨了人工智能技术在恶意流量检测领域的应用及前景。
恶意流量分析大数据建模
05-23
恶意流量分析大数据建模是指利用大数据技术和机器学习算法对网络中的恶意流量进行分析和识别。这种建模方法可以帮助网络安全人员快速发现和应对网络攻击,保护网络的安全。 恶意流量分析大数据建模的具体流程包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值