通過該實(shí)驗(yàn)了解惡意流量取證分析基本方法，本次實(shí)驗(yàn)主要涉及：Feista ExploitKit,所利用的cve漏洞的poc特征提取，根據(jù)分析文章解密惡意文件等知識(shí)。

這次實(shí)驗(yàn)給出了一個(gè)數(shù)據(jù)包。

我們直接打開

可以看到有nbns的流量

自然就先過濾出nbns的流量來得到host name等信息

通過nbns流量可以分析出ip為10.3.162.105對(duì)應(yīng)的host name為OWEN-PC，其mac地址為78:2b:cb:1a:b2:08,是dell的電腦

?

接下來看看http和https的流量

可以看到用戶首先登陸了谷歌郵箱，之后下載了一個(gè)zip壓縮文件，從名稱看出是efax message.

?

?

Efax指的是網(wǎng)絡(luò)傳真，不過此處下載的是正常的文件還是偽裝的惡意文件我們暫時(shí)還無法判斷。不過結(jié)合之前的分析經(jīng)驗(yàn)，以及用戶在下載該文件前登陸了谷歌郵箱，我們可以推測有可能是通過釣魚郵件誘使用戶下載的惡意文件。

之后，經(jīng)過不多的幾條走443的加密流量后，可以看到主機(jī)下載了一些文件

其中包括js文件、exe文件，這些都是很常見的惡意軟件的載體

?

我們?cè)诟婢罩局凶⒁獾接兄赶蚰康膇p為205.234.186.115的流量

在數(shù)據(jù)包中過濾出來看看

跟蹤tcp流

這里的host指流量指向的被訪問的網(wǎng)址，結(jié)合告警日志可知這個(gè)域名與Fiesta EK有關(guān)，而referer指的是是從www.disclose.tv鏈接過來的，這表明www.disclose.tv已經(jīng)被黑客攻陷了，然后被惡意定向到了wnnvpim.ddsnking.com

我們還可以從user agent中判斷出更多東西

將user-agent復(fù)制出來，在這個(gè)網(wǎng)站查詢

https://developers.whatismybrowser.com/useragents/parse/#parse-useragent

結(jié)果如下

從結(jié)果中可以看出運(yùn)行的IE8瀏覽器

結(jié)合feista ek進(jìn)行搜索

?

可以看到Feista EK確實(shí)能夠針對(duì)IE8發(fā)起攻擊

我們查看這篇分析Fiesta Exploit Kit工作機(jī)理的文章：http://blog.0x3a.com/post/110052845124/an-in-depth-analysis-of-the-fiesta-exploit-kit-an

?

?

?

一般來說，這些攻擊套件都會(huì)利用很多cve，我們按照cve關(guān)鍵字搜索與ie有關(guān)的cve，并且是集成在Fiesta EK中的

該文章針對(duì)捕獲到的樣本反混淆后，比較接近源碼，下圖是我使用cve關(guān)鍵字搜索到與IE有關(guān)的部分

所以我們可以推測，這次攻擊可能就是Fiesta EK利用cve-2013-2551進(jìn)行攻擊IE的行為。

那么從給出的流量中能找到些蛛絲馬跡印證我們的想法嗎？

我們先去找些有關(guān)cve-2013-2551的分析文章，可以直接看我找到的這篇

https://dangokyo.me/2017/11/18/analysis-on-cve-2013-2551/

看看cve-2013-2551有哪些特征

我們看看這個(gè)poc

再會(huì)過頭去看使用http.request and ip.addr eq 205.234.186.115過濾出的流量，跟蹤tcp流，選中第三條跟蹤

可以看到符合分析文章里的poc的一些特征

這里簡單說一下，我為什么把vml選做特征，因?yàn)閏ve-2013-2551就是IE VML整數(shù)溢出漏洞，所以選擇vml作為特征字符串在poc與流量進(jìn)行比對(duì)。

?

跟蹤過濾出的第四條流量

從content-type,content-length可以判斷Fiesta發(fā)送了393kb的payload

注：

如果對(duì)content-type不熟悉可以從這兒學(xué)習(xí)：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/MIME_types

這次分析的octet-stream是屬于未知的應(yīng)用程序文件

?

?

我們可以將前面感覺是惡意文件的那個(gè)壓縮文件導(dǎo)出從而進(jìn)一步的分析

?

將其解壓后計(jì)算md5

然后根據(jù)md5搜索

很明顯是惡意文件

?

我們還可以從數(shù)據(jù)包中提取出payload

之前提到這些payload是混淆過的，所以我們需要解密，在這篇關(guān)于fiesta ek的分析文章中給出了解密腳本

腳本如下

?

將代碼復(fù)制到kali的decrypt.py中

運(yùn)行一下，看看用法

?

按照格式輸入

運(yùn)行后即可解密得到out.exe

?

這里我們是看分析文章推測是exe文件，既然已經(jīng)解密了我們就可以使用file查看確認(rèn)一下

然后計(jì)算md5

搜索這一串md5

?

確實(shí)是惡意軟件

?

。

?

總結(jié)

以上是生活随笔為你收集整理的恶意流量分析训练九的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。