应急靶场 | 2014-11-16流量分析练习

本文涉及的产品
.cn 域名,1个 12个月
简介: 应急靶场 | 2014-11-16流量分析练习

这篇文章来自老应急师@沉默树人老哥投稿,同时也给大家分享一个学习流量包分析和恶意文件分析的网站:https://www.malware-traffic-analysis.net/


此次靶场地址:

https://www.malware-traffic-analysis.net/2014/11/16/index.html


0x01 问题

第 1 级问题:

1) 被感染的 Windows 虚拟机的 IP 地址是多少?

2) 被感染的 Windows 虚拟机的主机名是什么?

3) 受感染虚拟机的 MAC 地址是多少?

4) 受感染网站的 IP 地址是什么?

5) 被入侵网站的域名是什么?

6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?


第 2 级问题:

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?

2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?

4) 有效载荷交付了多少次?

5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?


第 3 级问题:

1) 检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?

2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?

3) 提取漏洞利用文件。md5 文件哈希是什么?

4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户(或订阅者)使用 VRT 规则集运行自己的 Snort 版本,会触发哪些 VRT 规则?


0x02 观察&解题

0x21 先从第1级问题看

1) 被感染的 Windows 虚拟机的 IP 地址是多少?


很明显从包序1到10就可以看到虚拟机地址是172.16.165.165,大概从包序11开始交互,但是交互地址出现了变化。


2) 被感染的 Windows 虚拟机的主机名是什么?


这里我用来最省事的方法,ctrl+f,选“分组详情”、“区分大小写”、“字符串”直接过滤出Host Name找到数据包中的主机名【其实是我懒】:K34EN6W3N-PC


科学的方法可以看到下放的注释,存在一个dhcp表示,靠谱的直接从过滤器上输入dhcp就行了。


最详细的方法是这个,dhcp.option.hostname精准定位,能出现这样字段的协议还有nbns/http/kerberos


3) 受感染虚拟机的 MAC 地址是多少?

同理,可以找到mac地址:f0:19:af:02:9b:f1。精确语句为:dhcp.hw.mac_addr


4) 受感染网站的 IP 地址是什么?

5) 被入侵网站的域名是什么?

两题合起来说,上面的分析过程会乱跳包,那么这里重回到包序分析。

由于是找网站,那么根据http协议快速追包,可以看到包序139/140发生了改变。


往前看204.79.197.200是http://www.bing.com搜索引擎,应该是攻击者信息收集所用


利用语句ip.addr==82.150.140.30,直接过出关于82.150.140.30的包,可以看见一个域名。


那么答案就是82.150.140.30www.ciniholland.nl


6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?

打陇剑的时候,粗暴的方法不行,那在这里试试,直接提取文件看看有啥。暴力导出Http全部数据。


图片马应该不是,不然我的杀软应该报毒了,剩下就是圈住的可能有问题,但是打不开,只能去包看。


根据这里列出来的追包,可以看到ip为37.200.69.143,域名为http://stand.trustandprobaterealty.com


0x22 看二级问题

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?

根据上下文来看,“重定向”到,那么在37.200.69.143之前肯定有一个地址追包37这个地址之前一段就行了。包序1129有dns解析的痕迹,往上找。


包序977开始到1091结束,出现一个188.225.73.100的可疑地址,附带一个域名http://24corp-shop.com/,这个就是答案了


2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?

回到刚才导出数据的界面可以看到,红框是题目所述IE漏洞、蓝框是flsh有关的洞、黄框是java有关的洞。


看flash漏洞将其导出保存为swf格式,上传到微步沙箱,识别为cve-2014-0569


看java漏洞将其导出为jar包,上传微步沙箱,识别为cve-2012-0507


漏洞分析后续再写(水)一篇文章,太久没拆漏洞要重新捡起来

万恶之源在包序1566里,看这应该是混淆加密过的。之后分析。


4)有效载荷交付了多少次?

在导出处可以看到,一共3次。


5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?


0x23 最后第三级问题

1) 检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?

RIG


2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?

既然说是受感染的网站,那么过滤语句直接过滤出来排查就行了。

追到161包,然后追踪其http流


3) 提取漏洞利用文件。md5 文件哈希是什么?

提取Jar包和swf传到微步沙箱

    178be0ed83a7a9020121dee1c305fd6ca3b74d15836835cfb1684da0b44190d3
    e2e33b802a0d939d07bd8291f23484c2f68ccc33dc0655eb4493e5d3aebc0747


    4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户(或订阅者)使用 VRT 规则集运行自己的 Snort 版本,会触发哪些 VRT 规则?

    其实没写过这个VRT规则,提出一些自己的看法。

    根据有效载荷的交互上看,这个RIG工具的uri有一定的规律,可以进行过滤


    0x03 总结

    这一题顺序大概在:

    坑点在那个万恶之源,分析很困难。然后还有数据包巨大,思路要清晰,结合对不同数据在wireshark里的结构,进行排查。

    相关文章
    |
    SQL 编解码 网络安全
    网络安全CTF流量分析-入门1-流量分析中的Sql注入
    从分析Sql流量入门CTF流量分析
    646 0
    |
    5月前
    |
    SQL 监控 中间件
    【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
    【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
    |
    6月前
    |
    SQL 安全 网络安全
    服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案
    服务器入侵如何防护,业务被攻击如何处理,服务器安全防护方案
    |
    11月前
    |
    监控 安全 Linux
    应急响应与系统加固(护网蓝初面试干货)
    应急响应与系统加固(护网蓝初面试干货)
    223 0
    |
    安全 关系型数据库 MySQL
    【网络安全】护网系列-应急响应排查
    【网络安全】护网系列-应急响应排查
    534 0
    |
    开发框架 监控 安全
    攻防演练|RASP让WebShell攻击破防了
    WebShell 是一种通过浏览器来进行交互的Shell,而且是黑客通常使用的一种恶意脚本,通常被攻击者用来获取对应用服务器的某些操作权限。攻击者通过渗透系统或网络,然后安装 WebShell ,攻击者可以在应用服务器上执行敏感命令、窃取数据、植入病毒,危害极大。而且, WebShell 隐蔽性极强,传统的流量侧方案对其防御效果不佳。本文将为大家介绍一下常见的 WebShell 类型以及 RASP 如何对其进行防御。
    262 0
    攻防演练|RASP让WebShell攻击破防了
    |
    网络协议 Java 应用服务中间件
    【攻防演练】从钓鱼上线到内网漫游(二)
    【攻防演练】从钓鱼上线到内网漫游
    212 0
    |
    域名解析 前端开发 网络协议
    【攻防演练】从钓鱼上线到内网漫游(一)
    【攻防演练】从钓鱼上线到内网漫游
    211 0
    |
    6月前
    |
    云安全 运维 安全
    Webshell处置最佳实践
    适用场景在云安全中心告警中主机上检出Webshell时,如何处置,以及通过信息简要分析入侵途径。Web场景实战一、确认Webshell事件Webshell根据功能和大小,主要分为两类,一类是小马,一类是大马。Web小马主要以一句话木马居多,一句话木马一般是以执行代码的函数+可以自定义内容参数为主,黑...
    797 0
    Webshell处置最佳实践
    |
    SQL 存储 安全
    web安全攻击方法流量分析
    web安全攻击方法流量分析
    643 1
    web安全攻击方法流量分析