恶意流量分析训练九
通过该实验了解恶意流量取证分析基本方法,本次实验主要涉及:Feista ExploitKit,所利用的cve漏洞的poc特征提取,根据分析文章解密恶意文件等知识。
我们直接打开
可以看到有nbns的流量
自然就先过滤出nbns的流量来得到host name等信息
通过nbns流量可以分析出ip为10.3.162.105对应的host name为OWEN-PC,其mac地址为78:2b:cb:1a:b2:08,是dell的电脑
接下来看看http和https的流量
可以看到用户首先登陆了谷歌邮箱,之后下载了一个zip压缩文件,从名称看出是efax message.
Efax指的是网络传真,不过此处下载的是正常的文件还是伪装的恶意文件我们暂时还无法判断。不过结合之前的分析经验,以及用户在下载该文件前登陆了谷歌邮箱,我们可以推测有可能是通过钓鱼邮件诱使用户下载的恶意文件。
之后,经过不多的几条走443的加密流量后,可以看到主机下载了一些文件
其中包括js文件、exe文件,这些都是很常见的恶意软件的载体
我们在告警日志中注意到有指向目的ip为205.234.186.115的流量
在数据包中过滤出来看看
跟踪tcp流
这里的host指流量指向的被访问的网址,结合告警日志可知这个域名与Fiesta EK有关,而referer指的是是从www.disclose.tv链接过来的,这表明www.disclose.tv已经被黑客攻陷了,然后被恶意定向到了wnnvpim.ddsnking.com
我们还可以从user agent中判断出更多东西
将user-agent复制出来,在这个网站查询
https://developers.whatismybrowser.com/useragents/parse/#parse-useragent
结果如下
从结果中可以看出运行的IE8浏览器
结合feista ek进行搜索
可以看到Feista EK确实能够针对IE8发起攻击
我们查看这篇分析Fiesta Exploit Kit工作机理的文章:http://blog.0x3a.com/post/110052845124/an-in-depth-analysis-of-the-fiesta-exploit-kit-an
一般来说,这些攻击套件都会利用很多cve,我们按照cve关键字搜索与ie有关的cve,并且是集成在Fiesta EK中的
该文章针对捕获到的样本反混淆后,比较接近源码,下图是我使用cve关键字搜索到与IE有关的部分
所以我们可以推测,这次攻击可能就是Fiesta EK利用cve-2013-2551进行攻击IE的行为。
那么从给出的流量中能找到些蛛丝马迹印证我们的想法吗?
我们先去找些有关cve-2013-2551的分析文章,可以直接看我找到的这篇
https://dangokyo.me/2017/11/18/analysis-on-cve-2013-2551/
看看cve-2013-2551有哪些特征
我们看看这个poc
再会过头去看使用http.request and ip.addr eq 205.234.186.115过滤出的流量,跟踪tcp流,选中第三条跟踪
可以看到符合分析文章里的poc的一些特征
这里简单说一下,我为什么把vml选做特征,因为cve-2013-2551就是IE VML整数溢出漏洞,所以选择vml作为特征字符串在poc与流量进行比对。
跟踪过滤出的第四条流量
从content-type,content-length可以判断Fiesta发送了393kb的payload
注:
如果对content-type不熟悉可以从这儿学习:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Basics_of_HTTP/MIME_types
这次分析的octet-stream是属于未知的应用程序文件
我们可以将前面感觉是恶意文件的那个压缩文件导出从而进一步的分析
将其解压后计算md5
然后根据md5搜索
很明显是恶意文件
我们还可以从数据包中提取出payload
之前提到这些payload是混淆过的,所以我们需要解密,在这篇关于fiesta ek的分析文章中给出了解密脚本
脚本如下
将代码复制到kali的decrypt.py中
运行一下,看看用法
按照格式输入
运行后即可解密得到out.exe
这里我们是看分析文章推测是exe文件,既然已经解密了我们就可以使用file查看确认一下
然后计算md5
搜索这一串md5
确实是恶意软件
。