这篇文章来自老应急师@沉默树人老哥投稿,同时也给大家分享一个学习流量包分析和恶意文件分析的网站:https://www.malware-traffic-analysis.net/
此次靶场地址:
https://www.malware-traffic-analysis.net/2014/11/16/index.html
0x01 问题
第 1 级问题:
1) 被感染的 Windows 虚拟机的 IP 地址是多少?
2) 被感染的 Windows 虚拟机的主机名是什么?
3) 受感染虚拟机的 MAC 地址是多少?
4) 受感染网站的 IP 地址是什么?
5) 被入侵网站的域名是什么?
6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?
第 2 级问题:
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
4) 有效载荷交付了多少次?
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?
第 3 级问题:
1) 检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?
2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?
3) 提取漏洞利用文件。md5 文件哈希是什么?
4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户(或订阅者)使用 VRT 规则集运行自己的 Snort 版本,会触发哪些 VRT 规则?
0x02 观察&解题
0x21 先从第1级问题看
1) 被感染的 Windows 虚拟机的 IP 地址是多少?
很明显从包序1到10就可以看到虚拟机地址是172.16.165.165,大概从包序11开始交互,但是交互地址出现了变化。
2) 被感染的 Windows 虚拟机的主机名是什么?
这里我用来最省事的方法,ctrl+f,选“分组详情”、“区分大小写”、“字符串”直接过滤出Host Name找到数据包中的主机名【其实是我懒】:K34EN6W3N-PC
科学的方法可以看到下放的注释,存在一个dhcp表示,靠谱的直接从过滤器上输入dhcp就行了。
最详细的方法是这个,dhcp.option.hostname精准定位,能出现这样字段的协议还有nbns/http/kerberos
3) 受感染虚拟机的 MAC 地址是多少?
同理,可以找到mac地址:f0:19:af:02:9b:f1。精确语句为:dhcp.hw.mac_addr
4) 受感染网站的 IP 地址是什么?
5) 被入侵网站的域名是什么?
两题合起来说,上面的分析过程会乱跳包,那么这里重回到包序分析。
由于是找网站,那么根据http协议快速追包,可以看到包序139/140发生了改变。
往前看204.79.197.200是http://www.bing.com搜索引擎,应该是攻击者信息收集所用
利用语句ip.addr==82.150.140.30,直接过出关于82.150.140.30的包,可以看见一个域名。
那么答案就是82.150.140.30和www.ciniholland.nl。
6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么?
打陇剑的时候,粗暴的方法不行,那在这里试试,直接提取文件看看有啥。暴力导出Http全部数据。
图片马应该不是,不然我的杀软应该报毒了,剩下就是圈住的可能有问题,但是打不开,只能去包看。
根据这里列出来的追包,可以看到ip为37.200.69.143,域名为http://stand.trustandprobaterealty.com
0x22 看二级问题
1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么?
根据上下文来看,“重定向”到,那么在37.200.69.143之前肯定有一个地址追包37这个地址之前一段就行了。包序1129有dns解析的痕迹,往上找。
包序977开始到1091结束,出现一个188.225.73.100的可疑地址,附带一个域名http://24corp-shop.com/,这个就是答案了
2) 除了登陆页面(其中包含 CVE-2013-2551 IE 漏洞),EK 还发送了哪些其他漏洞?
回到刚才导出数据的界面可以看到,红框是题目所述IE漏洞、蓝框是flsh有关的洞、黄框是java有关的洞。
看flash漏洞将其导出保存为swf格式,上传到微步沙箱,识别为cve-2014-0569
看java漏洞将其导出为jar包,上传微步沙箱,识别为cve-2012-0507
【漏洞分析后续再写(水)一篇文章,太久没拆漏洞要重新捡起来】
万恶之源在包序1566里,看这应该是混淆加密过的。之后分析。
4)有效载荷交付了多少次?
在导出处可以看到,一共3次。
5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么?
0x23 最后第三级问题
1) 检查我的网站,我(和其他人)称这个漏洞利用工具包是什么?
RIG
2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本?
既然说是受感染的网站,那么过滤语句直接过滤出来排查就行了。
追到161包,然后追踪其http流
3) 提取漏洞利用文件。md5 文件哈希是什么?
提取Jar包和swf传到微步沙箱
178be0ed83a7a9020121dee1c305fd6ca3b74d15836835cfb1684da0b44190d3 e2e33b802a0d939d07bd8291f23484c2f68ccc33dc0655eb4493e5d3aebc0747
4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户(或订阅者)使用 VRT 规则集运行自己的 Snort 版本,会触发哪些 VRT 规则?
其实没写过这个VRT规则,提出一些自己的看法。
根据有效载荷的交互上看,这个RIG工具的uri有一定的规律,可以进行过滤
0x03 总结
这一题顺序大概在:
坑点在那个万恶之源,分析很困难。然后还有数据包巨大,思路要清晰,结合对不同数据在wireshark里的结构,进行排查。