日常流量分析4
Created at 2019-07-02 Updated at 2019-08-15 Category 流量分析
在分析之前首先利用Wireshark分析一下统计信息。
以UTC(GMT)表示的恶意活动的日期和时间。
由2知道受感染的IP地址,找到138的IP地址,点击进去,打开下面有个传输时间,对应的传输时间即是受感染的时间
受影响的Windows主机的IP地址。
从最后可分析出受感染的IP地址是172.16.1.138
受影响的Windows主机的Mac地址。
在科来中的诊断那项,由前面可知受感染的MAC地址是172.16.1.138,可直接选择对应的Mac地址
故受感染的Windows主机的Mac地址是00:0B:CD:E0:71:53
受影响的Windows主机的主机名。
在Wireshark中搜索kerberos.CNameString,可看出Windows主机的主机名就是shatal-pc$
受影响的Windows主机上的用户帐户名称。
也是在Wireshark中搜索kerberos.CNameString
找到138的IP地址对应的,cname对应的Windows主机上的用户账户名称就是bruno.shaxtal
发生了什么。
在Wireshark中搜索http看到了一个以.tiff结尾的文件,追踪了一下HTTP追踪流,得到如下图所示
可看到下面有GET了一个.zip的文件。
在Wireshark中可看到导出文件中找到这个文件。
导出到电脑中拉到网站中,发现此文件有问题。
然后也通过在Wireshark中搜索HTTP,找到了那个。zip的包,
可以看到这个包的源地址是172.16.1.138,所以这个受感染的IP地址是172.16.1.138