应急靶场 | 2014-11-16流量分析练习

这篇文章来自老应急师@沉默树人老哥投稿，同时也给大家分享一个学习流量包分析和恶意文件分析的网站：https://www.malware-traffic-analysis.net/

此次靶场地址：

https://www.malware-traffic-analysis.net/2014/11/16/index.html

0x01 问题

第 1 级问题：

1) 被感染的 Windows 虚拟机的 IP 地址是多少？

2) 被感染的 Windows 虚拟机的主机名是什么？

3) 受感染虚拟机的 MAC 地址是多少？

4) 受感染网站的 IP 地址是什么？

5) 被入侵网站的域名是什么？

6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？

第 2 级问题：

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？

2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？

4) 有效载荷交付了多少次？

5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

第 3 级问题：

1) 检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

3) 提取漏洞利用文件。md5 文件哈希是什么？

4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户（或订阅者）使用 VRT 规则集运行自己的 Snort 版本，会触发哪些 VRT 规则？

0x02 观察&解题

0x21 先从第1级问题看

1) 被感染的 Windows 虚拟机的 IP 地址是多少？

很明显从包序1到10就可以看到虚拟机地址是172.16.165.165，大概从包序11开始交互，但是交互地址出现了变化。

2) 被感染的 Windows 虚拟机的主机名是什么？

这里我用来最省事的方法，ctrl+f，选“分组详情”、“区分大小写”、“字符串”直接过滤出Host Name找到数据包中的主机名【其实是我懒】：K34EN6W3N-PC

科学的方法可以看到下放的注释，存在一个dhcp表示，靠谱的直接从过滤器上输入dhcp就行了。

最详细的方法是这个，dhcp.option.hostname精准定位，能出现这样字段的协议还有nbns/http/kerberos

3) 受感染虚拟机的 MAC 地址是多少？

同理，可以找到mac地址：f0:19:af:02:9b:f1。精确语句为：dhcp.hw.mac_addr

4) 受感染网站的 IP 地址是什么？

5) 被入侵网站的域名是什么？

两题合起来说，上面的分析过程会乱跳包，那么这里重回到包序分析。

由于是找网站，那么根据http协议快速追包，可以看到包序139/140发生了改变。

往前看204.79.197.200是http://www.bing.com搜索引擎，应该是攻击者信息收集所用

利用语句ip.addr==82.150.140.30，直接过出关于82.150.140.30的包，可以看见一个域名。

那么答案就是82.150.140.30和www.ciniholland.nl。

6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？

打陇剑的时候，粗暴的方法不行，那在这里试试，直接提取文件看看有啥。暴力导出Http全部数据。

图片马应该不是，不然我的杀软应该报毒了，剩下就是圈住的可能有问题，但是打不开，只能去包看。

根据这里列出来的追包，可以看到ip为37.200.69.143，域名为http://stand.trustandprobaterealty.com

0x22 看二级问题

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？

根据上下文来看，“重定向”到，那么在37.200.69.143之前肯定有一个地址追包37这个地址之前一段就行了。包序1129有dns解析的痕迹，往上找。

包序977开始到1091结束，出现一个188.225.73.100的可疑地址，附带一个域名http://24corp-shop.com/，这个就是答案了

2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？

回到刚才导出数据的界面可以看到，红框是题目所述IE漏洞、蓝框是flsh有关的洞、黄框是java有关的洞。

看flash漏洞将其导出保存为swf格式，上传到微步沙箱，识别为cve-2014-0569

看java漏洞将其导出为jar包，上传微步沙箱，识别为cve-2012-0507

【漏洞分析后续再写（水）一篇文章，太久没拆漏洞要重新捡起来】

万恶之源在包序1566里，看这应该是混淆加密过的。之后分析。

4）有效载荷交付了多少次？

在导出处可以看到，一共3次。

5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

0x23 最后第三级问题

1) 检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

RIG

2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

既然说是受感染的网站，那么过滤语句直接过滤出来排查就行了。

追到161包，然后追踪其http流

3) 提取漏洞利用文件。md5 文件哈希是什么？

提取Jar包和swf传到微步沙箱

178be0ed83a7a9020121dee1c305fd6ca3b74d15836835cfb1684da0b44190d3
e2e33b802a0d939d07bd8291f23484c2f68ccc33dc0655eb4493e5d3aebc0747

4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户（或订阅者）使用 VRT 规则集运行自己的 Snort 版本，会触发哪些 VRT 规则？

其实没写过这个VRT规则，提出一些自己的看法。

根据有效载荷的交互上看，这个RIG工具的uri有一定的规律，可以进行过滤

0x03 总结

这一题顺序大概在：

坑点在那个万恶之源，分析很困难。然后还有数据包巨大，思路要清晰，结合对不同数据在wireshark里的结构，进行排查。