一次恶意流量分析实战实例 – 作者:WhiteCat0

0x0 事件简述

某天，客户觉得自己的机器貌似被感染了，让我们寻找一下解决方案，看看到底有没有异常流量，以及是否感染，感染的具体情况。

客户提供的信息如下：

• LAN segment range: 10.08.21.0/24 (10.08.21.0 through 10.08.21.255)
• Domain: tecsolutions.info
• Domain controller: 10.08.21.8 – Pizza-Bender-DC
• LAN segment gateway: 10.08.21.1
• LAN segment broadcast address: 10.08.21.255

0x1 分析目的

通过流量分析找到如下信息：

1.找到被感染或者沦陷的主机以及其信息，包括IP、MAC地址、主机名等

2.确定感染的主机上的恶意软件类型，或提取出样本

3.找到恶意软件是如何感染到主机上的

4.找到感染前沦陷主机到底做了什么

0x2 分析过程

WireShark打开用户发给我们的流量包

1.找到沦陷主机

这里直接过滤HTTPS包和HTTP包，得到如下结果

HTTPS包

HTTP包

根据客户提供给我们的信息，IP范围为10.08.21.0/24，我们已经初步确定，用户主机的IP为10.18.21.163，相应的MAC地址如下：

根据流量包，得出用户主机的一些信息

IP：10.18.21.163

MAC地址：10:c3:7b:0a:f2:85

主机名：DESKTOP-OF4FE8A

2.找到该主机上的样本

鉴于样本肯定不可能在用户电脑上凭空出现，推断其是从网络上下载，查找所有的Get请求流量

使用HTTP流追踪这些流量中通信数据包较大的流量，发现信息如下：

2020-08-21 15:04:24

和IP 45.12.4.190的通信中传递了一个PE文件。

我们把这个包中传输的文件导出，获取HASH，在virustotal上查询

发现是一个后台木马，不同的引擎对其特征警告如下

3.找到恶意软件是如何感染到主机上的

由于此前并未发现用户的Get请求，暂未找到有用的信息，只能确定用户通过域名ncznw6a.com下载了一个木马

4.识别木马感染特征

4.1 在Wireshark中查看地址解析，发现被感染主机10.18.21.163的IP被映射到DESKTOP-OF4FE8A.pizza-bender.com了，同时发现另一台主机10.8.21.8的IP也被映射到了pizza-bender-dc.pizza-bender.com,可以推断另一台主机也被感染。

4.2 过滤https请求，发现感染主机10.18.21.163感染木马后，访问的一些不正常域名

ldrbravo.casa、siesetera.club、ciliabba.cyou、ubbifeder.cyou

其中siesetera.club、ciliabba.cyou、ubbifeder.cyou 的IP都为：89.44.9.186，推测其为木马通信的客户端IP

0x3 事件总结

1.感染主机：

10.18.21.163、10.8.21.8

2.感染特征：

a.主机的IP地址被映射到pizza-bender.com的子域名

b.存在木马的主机和89.44.9.186有大量https通信

3.感染过程：

2020-08-21 15:04:24

主机10.18.21.163通过域名ncznw6a.com下载了一个名为ranec11.cab的木马后门

2020-08-21 15:07:03

主机10.18.21.163和客户端(IP:89.44.9.186)开始通信

来源：freebuf.com 2020-10-19 10:35:40 by: WhiteCat0