赞
踩
警告:许多pcap包含Windows恶意软件,本教程涉及检查这些恶意文件。由于这些文件是Windows恶意软件,建议在离线环境下学习本教程(如:虚拟机)。
目录
在Wireshark中打开pcap并在http上过滤
在http上过滤后。有三个GET请求,第一个请求在www.msftncsi[.]com中返回了一个ncsi.txt文本文档,其他两个发送到smart-fax[.]com的GET请求。以.doc结尾,表示请求返回了一个Microsoft Word文档。以.exe结尾,表示请求返回了Windows可执行文件。下面列出了HTTP GET请求:
接下来我们就是要导出HTTP请求中你想要的请求,我们可以点击左上角的文件-导出对象-HTTP,然后会弹出一个HTTP对象列表,我们选择smart-fax[.]com 请求的.doc文档,选择Sava(保存),保存到选择的路径后记得不要更改文件名称,便于我们分析不同的恶意文件。
注意:HTTP对象列表中的内容类型显示了服务器如何在其HTTP响应头中标识文件。在某些情况下,Windows可执行文件被故意标记为不同类型的文件,以避免被检测到。
不过,我们应该确认这些文件如我们认为的一样。我们可以在Linux环境中(如:kali),可以使用终端窗口或命令行界面执行以下命令:
file命令会返回文件类型,md5sum会返回文件MD5值。我们可以根据这些信息判断这些文件如我们认为的一样。最后我们可以通过文件的MD5值去沙箱检索,查看是否为恶意文件,还可以通过Google搜索引擎去搜索MD5值相同的恶意文件及沙箱检索报告。
除了Windows可执行文件或其他恶意软件文件外,我们还可以提取网页流量。下面的为某人在虚假PayPal登录页面上输入登录凭据的流量。
在查看来自网络钓鱼网站的流量时,我们要查看网络钓鱼网页的外观。我们可以使用导出 HTTP 对象菜单提取初始 HTML 页面,这里我们可以提取所有文件到一个文件家中。然后,我们可以在离线的环境中通过 Web 浏览器查看它(如:虚拟机)。
虚假的登录页面
一些恶意软件使用Microsoft的服务器消息块(SMB)协议在基于Active Directory(AD)的网络中传播。早在2017年7月,一个名为Trickbot的银行木马程序就添加了一个蠕虫模块,该模块利用基于EternalBlue的漏洞在SMB网络上传播。今天,我们使用这个Trickbot蠕虫模块流量导出对象。
我们的pcap表示Trickbot感染,它使用SMB从10.6.26.110的受感染客户端传播到10.6.26.6的域控制器。在Wireshark中打开pcap。使用文件-->导出对象-->SMB。
你会打开一个SMB对象列表,列出了可以从pcap导出的SMB对象。其中内容类型这一列我们需要 [100.00%] 来导出这些文件的正确副本。任何小于 100% 的数字都表示网络流量中存在一些数据丢失,从而导致文件副本损坏或不完整。根据文件名这一列可以看到2个后缀名为.exe文件为Windows可执行文件。
下面解析了恶意文件的详细信息,其中包含了文件的SHA256值,可以去Google搜索引擎检索就会发现Trickbot银行木马程序相关分析报告。
分组 | 主机名 | 内容类型 | 文件名 | 大小 | SHA256值 |
7058 | \\10.6.26.6\C$ | FILE (712704/712704) W [100.0%] | \WINDOWS \d0p2nc6ka3f _fixhohlycj4ovqfcy _smchzo _ub83urjpphrwahjwhv _o5c0fvf6.exe | 712 kB | 59896ae5f3edcb99924 3c7bfdc0b17eb7fe28f3a 66259d797386ea470 c010040 |
7936 | \\10.6.26.6\C$ | FILE (115712/115712) W [100.0%] | \WINDOWS \oiku9bu68cxqenf mcsos2aek6t07 _guuisgxhllixv8d x2eemqddnhyh46l8n _di.exe | 115 kB | cf99990bee6c378cbf5623 9b3cc88276eec348d8274 0f84e9d5c343751f82560 |
某些类型的恶意软件会将受感染的Windows主机变成垃圾邮件机器人。这些垃圾邮件机器人每分钟发送数百条垃圾邮件或恶意电子邮件。在某些情况下,邮件使用未加密的SMTP发送,我们可以从感染流量的pcap导出这些邮件。
在下面这个pcap 中,受感染的 Windows 客户端会发送垃圾邮件,通过smtp.data.fragment过滤出smtp流量,你可以看到1秒中受感染主机会发送13封邮件。
您可以使用文件-->导出对象-->IMF…导出这些消息,IMF代表Internet Message Format(互联网信息格式),它以.eml文件扩展名保存为名称。
打开IMF对象列表,你会发现恶意文件都以eml为文件扩展名。你可以选择导出一个或者所有文件信息,从上面的字节大小相差很小判断内容相差不大,导出文件信息后你要在离线环境中打开(如虚拟机),因为里面可能包含恶意连接,您可以通过离线邮件查看器和文本编辑器打开这些邮件查看里面的内容。
下面为一个恶意文件内容, 类似于获取了你主机的控制权,对你进行勒索。
一些恶意软件家族在使用恶意软件感染主机期间会使用 FTP。在下面这个pcap中具有从FTP服务器检索的恶意可执行文件,是来自受感染的Windows主机的信息,这些信息发送回同一FTP服务器。
在Wireshark中打开pcap。通过ftp.request.command过滤查看FTP命令。你可以看到用户名和密码,然后是被动模式PASV,以及RETR下载命令,从FTP服务器上面下载了q.exe、w.exe、e.exe、r.exe、t.exe,随后又间隔18秒,在同一个服务器上传(STOR)了基于html类型的日志文件。
现在我们已经了解了下载和上传的文件,我们可以使用FTP数据过滤器查看来自ftp-data的流量。
我们无法使用Wireshark中的导出对象功能导出这些对象。但是,我们可以追踪每个数据通道的TCP流。左键单击以(SIZE q.exe)结尾的任何一行,为其中一个TCP段。然后右键单击可以打开一个菜单,并选择Follow(追踪流)-->TCP流的路径。
这将通过FTP数据通道调出q.exe的TCP流。在底部附近有一个按钮式菜单,标签为“Show data as”,默认为ASCII。然后我们需要选择并更改为原始数据。
现在窗口显示十六进制字符,而不是ASCII字符,然后使用窗口底部的另存为按钮将其保存为原始二进制文件。名称还为q.exe。不要随意更改名称。
接下来我们可以使用Linux系统确认它是可执行文件(如:kali),记得要在离线环境下进行操作,并且获取文件的MD5值或SHA256值。可以通过Google搜索引擎可以检索出相关的恶意为文件分析报告。
然后使用相同的办法可以把其他四个文件的SHA256值给找出来。下面为所有文件的SHA256值。
SHA256值 | 文件名 |
32e1b3732cd779af1bf7730d0ec8a7a87a084319f6a0870dc7362a15ddbd3199 | e.exe |
ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd | q.exe |
4ebd58007ee933a0a8348aee2922904a7110b7fb6a316b1c7fb2c6677e613884 | r.exe |
10ce4b79180a2ddd924fdc95951d968191af2ee3b7dfc96dd6a5714dbeae613a | t.exe |
08eb941447078ef2c6ad8d91bb2f52256c09657ecd3d5344023edccf7291e9fc | w.exe |
从受感染的Windows主机上发送的HTML文件上传到FTP服务器时,我们必须进行更精确的搜索。因为每次上传都使用相同的文件名。使用ftp.request.command进行过滤,并滚动到末尾。我们可以看到感染主机上传(STOR)以HTML为扩展文件名的日志文件。
要查看通过 ftp 数据通道发送的文件,使用ftp-data.command contains .html过滤出这些文件。你会发现每次将文件上传(STOR)到FTP服务器时,目标端口都会更改。第一次为TCP端口52202,第二次为TCP端口57791,第三次为TCP端口55045,第四次为TCP端口57203,第五次为TCP端口61099。
我们可以使用相同的方法进行提取其中的文件,我们这次可以使用tcp.dstport==52202过滤目的端口的流量,然后选择一个右击选择追踪流-tcp流,然后将文件从ASCLL选择为原始数据,另存为一个HTML文件。如果对所有五个HTML文件执行此操作,您会发现它们是完全相同的文件。这些基于文本的HTML文件包含有关受感染Windows主机的数据,包括恶意软件找到的任何密码。
注:转发请私聊me哦
赞
踩
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。