日常流量分析6

Created at 2019-07-04 Updated at 2019-08-15 Category 流量分析 Tag 日常流量分析6

一、UISGCON-traffic-analysis-task-pcap-1-of-2.pcap
LAN SEGMENT属性:

IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)
网关IP:10.1.75.1
广播IP:10.1.75.255
域控制器(DC):PixelShine-DC,10.1.75.4
域名:pixelshine.net

在分析问题之前先利用Wireshark统计一下,以下几项,方便分析问题。
mVeFat.png

mVenMQ.png

mVeurj.png

mVeQZn.png
1、说明这种感染的时间和日期。

2、确定受感染的Windows客户端的IP地址。
在Wireshark中看到tcp会话中基本上都是10.1.75.4和10.1.75.167。
mVeGGT.png
被感染的IP地址是10.1.75.4


3、确定受感染的Windows客户端的主机名。
在Wireshark中搜索栏中搜索kerberos.CNameString ,如下图可视,打开cname可看出Windows客户端的主机名
如图所示
mVewZR.png
Windows客户端的主机名就是RIGSBY-WIN-PC$


4、确定受感染Windows客户端的MAC地址。
在第一个问题中已知受感染的主机的IP地址,可通过科来的诊断这块,查看出受感染的Ip地址对应的MAC地址。
如图所示
mVegQe.png
搜感染的Mac地址是84:2B:2B:D3:55:73


5、确定受感染Windows客户端上使用的Windows用户帐户名。
也是采用第3步的做法,多搜索几个,出现如下图所示页面
mVmPlF.png
Windows用户帐户名就是judson.rigsby

6、确定受害者下载的Word文档的SHA256哈希值。
在Wireshark中搜索http协议,可看到下图页面
mVmeFx.png
可发现图片中蓝色的那行是word文档格式的,其他的都是图片或者其他等
追踪一下这条的http流,追踪结果如下图可视
mVmKSO.png
可清晰的看出filename=”FILE-88654515940798.doc”,故这个就是word文档的文件名。
在Wireshark中找到导出
mVm3md.png
选择导出对象,选择http格式,可看到下面图片,找到word文档,并导出为.doc结尾的文件名
mVmYkt.png
13、确定受感染Windows客户端的公共IP地址。把文件保存到桌面,点击右键属性查看哈希值。
这个word的文档的哈希值就是1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

7、确定发送到受感染Windows客户端的第一个恶意软件二进制文件的SHA256哈希值。

8、确定10.1.75.4处的域控制器(DC)被感染的时间。

9、确定发送到受感染Windows客户端的第二个恶意软件二进制文件的SHA256哈希值(与radiance.png和table.png检索的文件相同)。

10、可以使用Wireshark从SMB流量中检索的可执行文件的两个文件哈希是什么?

11、确定Windows客户端感染的两类恶意软件。

12、确定DC感染的一个恶意软件系列。

Table of Content

Site by csy using Hexo & Random

Hide