日常流量分析2
Created at 2019-06-20 Updated at 2019-08-15 Category 流量分析
日常流量分析2
首先在流量包分析之前,要统计一下包的大小,以及协议所占比例
其中利用Wireshark中的统计功能
再利用科来的协议查看协议所占比例
可看出流量包共6349条流量,其中协议主要是TCP和HTTP以及HTTPS和LDAP等
先分析出受感染的IP地址,在科来中的矩阵中可看到
一般收发点最多的就是受感染的IP地址
所以受感染的IP地址就是10.100.9.107
1、活动的日期和时间(格林威治标准时间或UTC)
由5可知感染的流量的具体编号,感染的编号为679
受感染的时间即为上图红色区域所示。
2、受感染的Windows计算机的帐户名称或用户名
从前面已知受感染的IP地址就是10.100.9.107
在Wireshark中搜索kerberos.CNameString找到相应受感染的IP地址对应的流量。
所以可知受感染的账户名是headless-pc$
3、受感染的Windows计算机的主机名
搜索用户名也是同上,在Wireshark中搜索kerberos.CNameString,找到搜感染的IP地址对应的,不过要多找几个
所以受感染的用户名是ichabod.crane
4、受感染的Windows计算机的MAC地址
在Wireshark中搜索tcp,打开受感染IP地址所对应的流量,并看清受感染IP地址是源地址和目标地址。
我选择的流量受感染IP地址107是目标地址
所以受感染的MAC地址是00:50:8b:2a:96:0a
5、SHA256文件哈希来自pcap的任何恶意软件
这是什么类型的感染
在科来中的协议中找到HTTP协议,
可看到以上的IP地址和受感染的IP地址有来往。
在Wireshark中搜索http.request.method == “GET”
追踪一下HTTP流,可查看到
DOS其实是是磁盘操作系统的缩写,是个人计算机上的一类操作系统。使用DOS模式可以执行很多程序。
而这条流量则在DOS模式,其实非常危险且这个请求的文件非常大,导出到桌面,然后到https://www.virustotal.com/gui/home/upload
把导出文件拖到此网站上一进行检测,得出下面结果
可得出哈希值是396223eeec49493a52dd9d8ba5348a332bf064483a358db79d8bb8d22e6eb62c