一些恶意样本的流量分析学习

Trickbot

Trickbot 是一种自 2016 年以来一直在感染受害者的信息窃取者和银行恶意软件。Trickbot通过恶意垃圾邮件(malspam)分发,也由其他恶意软件(如Emotet,IcedID或Ursnif)分发。

分析来自恶意垃圾邮件的 Trickbot 感染和通过其他恶意软件分发的 Trickbot 感染。

来自恶意垃圾邮件的 Trickbot 感染

使用basic过滤器过滤,提取对象zip,解压,看到 zip 存档中包含的文件名称 InvoiceAndStatement.lnk
在这里插入图片描述

  • 通过 TCP 端口 447 和 449 的 HTTPS/SSL/TLS 流量
  • 通过 TCP 端口 8082 的 HTTP 流量
  • 以 .png 结尾的 HTTP 请求返回 Windows 可执行文件

对144.91.69.195的http请求 返回一个pe文件,这是Trickbot的初始Windows可执行文件。

在这里插入图片描述
之后尝试了几次 通过443端口的TCP 连接到不同的 IP 地址。

通过 TCP 端口 447 和 TCP 端口 449 发往各种 IP 地址的 HTTPS/SSL/TLS 流量具有异常的证书数据可以通过过滤ssl.handshake.type == 2 来查看证书颁发者。然后转到帧详细信息部分并展开信息,以下证书颁发者数据用于 HTTPS/SSL/TLS 流量到 187.58.56.26。通过 TCP 端口 449实现 :
在这里插入图片描述

  • id-at-countryName=AU
  • id-at-stateOrProvinceName=Some-State
  • id-at-organizationName=Internet Widgits Pty Ltd

Some-State和Internet Widgits Pty Ltd不用于合法的HTTPS/SSL/TLS流量,这种类型的异常证书颁发者数据不仅限于 Trickbot。

通过tpc端口443到 Microsoft 域72.21.81.200的早期流量查看正常的数据颁发者在合法的HTTPS/SSL/TLS 流量中什么样。
在这里插入图片描述
受Trickbot感染的Windows主机将使用许多不同的IP地址检查站点检查其IP地址。这些网站不是恶意的,流量本质上也不是恶意的。但是,这种类型的 IP 地址检查在 Trickbot 和其他恶意软件系列中很常见。Trickbot使用的各种合法IP地址检查服务包括:

同样,IP 地址检查本身不是恶意的。但是,这种类型的活动与其他网络流量相结合可以提供感染的指标,就像我们在这种情况下看到的那样。

受感染的 Windows 主机在通过 TCP 端口 449 的 HTTPS/SSL/TLS 流量之后立即检查 IP 地址。本质上不是恶意的,但这是Trickbot感染的一部分。
在这里插入图片描述
由 Trickbot 引起的通过 TCP 端口 8082 的 HTTP 流量,此流量从受感染的主机发送信息,例如来自浏览器缓存和电子邮件客户端的系统信息和密码。此信息从受感染的主机发送到 Trickbot 使用的命令和控制服务器。http.request and tcp.port eq 8082过滤

在这里插入图片描述
以81结尾的HTTP POST 请求发送 Web 浏览器、电子邮件客户端和其他应用程序缓存的密码数据
在这里插入图片描述
以90结尾的HTTP POST 请求发送系统信息
在这里插入图片描述
http.request and ip contains .png 过滤
在这里插入图片描述
在这里插入图片描述
Trickbot通过以.png结尾的HTTP GET请求传输给受害者Windows可执行文件,当受感染的 Windows 主机是 Active Directory 环境中的客户端时,这些后续 Trickbot 可执行文件用于感染易受攻击的域控制器 (DC)

通过其他恶意软件分发的 Trickbot 感染

Trickbot经常通过其他恶意软件进行分发。Trickbot通常被视为Emotet感染的后续恶意软件,但我们也将其视为来自IcedID和Ursnif感染的后续恶意软件

分析Emotet分发的Trickbot流量:

经验丰富的分析师通常可以识别 Emotet 生成的流量和 Trickbot 生成的流量。感染后 Emotet后 活动包括 HTTP 流量和服务器返回的编码数据。这与感染后的Trickbot活动明显不同,后者通常依赖于HTTP / SSL / TLS流量进行命令和控制通信。在这里插入图片描述
此感染发生在 Active Directory 环境中,其中 10.9.25.102 作为受感染的 Windows 客户端,10.9.25.9 作为 DC。在流量的后期,我们看到 DC 表现出 Trickbot 感染的迹象在这里插入图片描述
Trickbot使用EternalBlue漏洞的一个版本,使用微软的SMB协议横向移动。在这种情况下,受感染的 Windows 客户端通过 TCP 端口 445 多次向 10.9.25.9 的 DC 发送信息。对185.98.87.185 HTTP GET 请求/wredneg2.png 在这里插入图片描述
遵循其中一个 TCP 流,这是客户端发送到 DC 的非常不寻常的流量,因此可能与 EternalBlue 漏洞有关。在这里插入图片描述
除了这种不寻常的 SMB 流量和 DC 被感染之外,此 pcap 中的任何特定于 Trickbot 的活动都与之前的示例非常相似。

Ursnif

Ursnif是银行恶意软件,有时被称为Gozi或IFSB。Ursnif 系列恶意软件已经活跃多年,当前样本生成不同的流量模式。

ursnif 可以通过基于 Web 的感染链和恶意垃圾邮件(恶意垃圾邮件)进行分发。在某些情况下,Ursnif是由Hancitor等不同恶意软件家族引起的后续感染

没有 HTTPS 感染后流量的 Ursnif

  • 初始 GET 请求的域:w8.wensa[.]at
  • 要求提供后续数据:hxxp://api2.casys[.]at/jvasset/xI/t64.dat
  • UrsnifGET和POST请求的域:h1.wensa[.]at
    在这里插入图片描述

具有 HTTPS 感染后流量的 Ursnif

向ghinatronx,com 发起http get请求,
此 TCP 流显示一个 Windows 可执行文件
在这里插入图片描述

Emotet

Emotet是一种信息窃取者,于2014年首次报告为银行恶意软件。此后,它发展了其他功能,例如滴管,分发其他恶意软件系列,如Gootkit,IcedID,Qakbot和Trickbot

Emotet通常通过恶意垃圾邮件(恶意垃圾邮件)电子邮件进行分发。Emotet感染链中的关键步骤是一个Microsoft Word文档,其中包含旨在感染易受攻击的Windows主机的宏。

word宏阶段产生的流量分析:

前五个http get请求用于检索初始emotet dll 的五个url
在这里插入图片描述
跟踪每个请求的 TCP 流,以查看对每个 HTTP GET 请求的回复。
过滤器 增加http响应

(http.request or http.response or ssl.handshake.type == 1) and !(udp.port eq 1900)
对seo.udaipurkart[.]com的http get请求 返回dll文件,filename=“nDurg8uFD5hl.dll”。
在这里插入图片描述
Emotet C2 流量是使用 HTTP POST 请求发送的编码数据,以下过滤器在Wireshark中找到这些请求:
http.request.method eq POST

  • 5.2.136[.]90 通过 TCP 端口 80
  • 167.71.4[.]0 通过 TCP 端口 8080
    在 POST 请求中发送的一些数据被编码为 base64 字符串,并带有一些 URL 编码。

在这里插入图片描述
通过 TCP 端口 443重复连接46.101.230[.]194 ,此 IP 地址已用于 Emotet C2 活动。pcap 中的剩余流量是由 Microsoft Windows 10 主机生成的系统流量。

与 SMTP 关联的 TCP 端口(如 TCP 端口 25、465 和 587)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/285601.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

银行5G短消息应用架构设计

(一)RCS简介 1.1 RCS的提出与标准制定 RCS(Rich Communication Services & Suite,富媒体通信)是GSMA(Groupe Speciale Mobile Association,全球移动通信系统协会)在2008年提出的一种通讯方式,RCS融合了语音、消息…

Bytebase 2.14.1 - 分支 (Branching) 功能支持 Oracle

🚀 新功能 分支 (Branching) 功能支持 Oracle。为 SQL 编辑器添加了项目选择器。 新增 SQL 审核规范: 禁止混合 DDL、DML 语句。禁止对同一张表进行不同类型的 DML 变更 (UPDATE,INSERT,DELETE)。 🔔 重大变更 工作空间设置中的「数据访问…

【已解决】MySQL:常用的除法运算+精度处理+除数为0处理

目录 问题现象: 问题分析: 拓展: 1、除法运算: 拓展:MySQL中常用的几种除法运算 1、取整除法 2、浮点数除法 3、取余除法 4、向上取整除法 5、向下取整除法 2、运算结果的精度处理 1.1、浮点数 1.2、总位数 1.3、…

电脑哥的励志创业路:蹭别人的电脑做抖店

我是王路飞。 没有一步到位的创业项目,也没有一击必中的解决方法,有的只是需要时刻解决的当下问题。 做事/创业/成长/生活/人生,都不要追求百分百的圆满,不要抱有一帆风顺的幻想,不要期待十全十美的结果。 它们的第…

Visual Studio QT6 工程引入组件模块,例如:QtXml

QT 工程引入 QtXml QT 版本 6.6.1 Visual Studio 版本 Microsoft Visual Studio Community 2022 (64 位) - Current 版本 17.7.5 打开 Visual Studio 项目工程选择 工具栏 - 扩展 - QT VS Tools -Qt Project Settings 勾选 xml 后点击确定 点击应用即可 注意:配置环…

day44 动态规划part6

完全背包 有N件物品和一个最多能背重量为W的背包。第i件物品的重量是weight[i],得到的价值是value[i] 。每件物品都有无限个(也就是可以放入背包多次),求解将哪些物品装入背包里物品价值总和最大。 完全背包和01背包问题唯一不同…

外部普米集中监控多个Prometheus实例:Prometheus Agent 模式与Prometheus 联邦模式 超级详细

外部普米集中监控多个Prometheus实例 Prometheus Agent 模式-使用推送方式来监控1.外部Prometheus配置1.需要开放端口,在启动时,需要配置开放监听端口2.添加prometheus启动参数3.修改配置后重启prometheus即可 2.各个节点的普米配置1.修改prometheus.yml…

HiveSQL一本通 - 案例实操

文章目录 0.HiveSQL一本通使用说明6.综合案例练习之基础查询6.1 环境准备创建数据表数据准备加载数据 6.2 简单查询练习1.查询姓名中带“山”的学生名单2.查询姓“王”老师的个数3.检索课程编号为“04”且分数小于60的学生的分数信息,结果按分数降序排列4.查询数学成…

vue.js——学习计划表

1&#xff09;准备工作 ①打开D:\vue\chapter02\ learning_schedule 目录&#xff0c;找到 index.html 文件。 在文件中引 入BootStrap 样式文件&#xff0c;具体代码如下 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8&qu…

【Linux】权限管理

文章目录 前言1.权限访问者的分类2.文件类型与访问权限3.文件权限值的表达方式4.文件访问权限的相关设置5.file指令6.目录权限理解与漏洞7.粘滞位的理解 前言 Linux下有两种用户&#xff1a;超级用户(root)和普通用户 超级用户&#xff1a;可以再linux系统下做任何事情&#x…

Vue3 + Vite + TS + Element-Plus + Pinia项目(3)--新建路由

1、在src文件夹下新建router文件夹后&#xff0c;创建index.ts文件 2、具体如下 import { createRouter, createWebHashHistory } from vue-routerconst router createRouter({history: createWebHashHistory(),routes: [{path: "/index",component: () > impor…

关于YOLOv9项目中使用已有模块自由改进的教程

专栏介绍&#xff1a;YOLOv9改进系列 | 包含深度学习最新创新&#xff0c;助力高效涨点&#xff01;&#xff01;&#xff01; 1. 文件说明 在YOLOv5-v9&#xff0c;模型的结构是以yaml文件的存储。我们可以在原有的yaml基础上增、减、改模块&#xff0c;创作我们自己的模型。 …

ASM四部曲之一:什么是ASM

文章目录 前言什么是.class文件什么是ASM概述作用域模型基于ASM的程序架构 ASM库结构 前言 本文翻译自ASM官方文档。 什么是.class文件 Java字节码文件&#xff08;.class&#xff09;是Java编译器编译Java源文件&#xff08;.java&#xff09;产生的目标文件。它是一种8位字…

基于SpringBoot+Layui的社区物业管理系统

项目介绍 社区物业管理系统是基于java程序开发,本系统分为业主和管理员两个角色 业主可以登陆系统,查看车位费用信息,查看物业费用信息,在线投诉,查看投诉,在线报修; 管理员可以车位收费信息,物业收费信息,投诉信息,楼宇信息,房屋信息,业主信息,车位信息,抄表信…

芯片设计工程师必备基本功——《Verilog+HDL应用程序设计实例精讲》

进入芯片行业需要学习哪些基本功呢&#xff1f;其实芯片设计工程师的技能是通过多年的经验学习的。在您开始作为芯片设计工程师工作之前&#xff0c;很难给出一个需要的全面的单一列表&#xff0c;也不可能学习所有内容。话虽如此&#xff0c;但您开始芯片设计师职业生涯时必须…

瑞萨杯(一)

基础信息 RA6M5&#xff1a;ARM V8架构&#xff0c;24MHz外置晶振&#xff0c;200MHz主频 SCI&#xff08;Serial Communications Interface&#xff09;&#xff0c;意为串行通信接口 参考链接&#xff1a; 【瑞萨RA系列FSP库开发】RASCKeil的环境搭建_瑞萨ra mdk-CSDN博客…

Web安全基础入门+信息收集篇

教程介绍 学习信息收集&#xff0c;针对域名信息,解析信息,网站信息,服务器信息等&#xff1b;学习端口扫描&#xff0c;针对端口进行服务探针,理解服务及端口对应关系&#xff1b;学习WEB扫描&#xff0c;主要针对敏感文件,安全漏洞,子域名信息等&#xff1b;学习信息收集方法…

【webpack】----错误解决【Cannot read properties of undefined (reading ‘tap‘)】

1. 报错场景 安装 webpack-obfuscator 后&#xff0c;进行 js 代码混淆编译的时候报错。 2. 报错截图 3. 错误原因 通常是由于版本不兼容或配置错误引起的。 4. 查询本地 webpack 版本 4.1 查询命令 npm 查询 npm view webpack versionyarn 查询 yarn info webpack ver…

2024年第14届生物医学工程与技术国际会议(ICBET 2024)即将召开!

2024年第14届生物医学工程与技术国际会议&#xff08;ICBET 2024&#xff09;将于2024年6月14日至17日在韩国首尔举行。 会议旨在汇聚来自世界各地的研究人员、工程师、院士和行业专业人士&#xff0c;展示他们在生物医学工程与技术领域的最新研究成果和进展。 会议以“生物医学…

欧拉法和Runge-Kutta(龙格-库塔)方法

Euler方法有各种格式&#xff0c;但其精度最高不超过2阶&#xff0c;一般难以满足实际计算的精度要求。因此&#xff0c;有必要构造精度更高的数值计算公式求解微分方程。Runge-Kutta方法就是一种高精度的经典的解常微分方程的单步方法。 下面是欧拉法例子&#xff1a; 参考链接…