wireshark流量分析挑战一

wireshark 流量分析挑战一

分析详情：附加的 PCAP 属于开发工具包感染。你能完成下列挑战吗

---

---

需要准备的

工具
wireshark
brim
数据包
蓝奏云密码326q

---

一、被感染的 Windows VM 的 IP 地址是什么？

将数据包文件在wireshark 中打开， 映入眼帘的就是大量的 TCP 重传报文 [TCP Retransmission]
没错，受害者就是 172.16.165.165 至于发生了什么不为人知的事情， 各位看官， 你细听分说；

二、被感染的 Windows VM 的主机名是什么？

这里如果对DHCP协议比较了解的话， 应该可以想到，DHCP客户端和服务端之间发送的Inform报文中带有请求机的host name；

那么这就很简单了，直接过滤DHCP找到在DHCP头中寻找即可

三、受感染网站的 IP 地址是什么？

如果前面的DHCP 不了解， 这里相信大家都知道是什么协议了
1.我们直接过滤http协议

2. 结合前面分析的受害者IP地址，可以进一步缩小分析范围，过滤以 172.16.165.165 为源的http请求

3.对这些数据包进行简单浏览发现有以下网址

• bing.com
• ciniholland.nl
• youtube.com
• adultbiz.in
• 24corp-shop.com
• stand.trustandprobaterealty.com.
  查看方式如下，如：bing.com 其他均相同
  

4.从上面的URL中，脱颖而出的是ciniholland，adultbiz，24corp-shop和stand.trustandprobaterealty。让我们对这些网站进行进一步的分析，以便我们知道哪一个受到损害。（不过他们都可能是受感染网站）

4.1 第一个 ciniholland.nl IP of 82.150.140.30. 使用追踪流 查看之间的数据通信，TCP 流和HTTP流在这都一样

这是客户端和服务端之间的请求信息， 和前端页面信息， 不过要从这么多信息进行一条条的看，确实比较费眼睛，这里给出一些总结的操作，一般前端页面被嵌入信息， 会使用 hidden 隐藏插入的信息，或者 opacity 设置插入组件的透明度， 使得人眼无法察觉

这里使用hidden 关键字进行搜索， 发现页面被嵌入了一个iframe 框架，并且重点向到了网站 24corp-shop.com

4.2 我们依次对其他数据包进行分析， 发现并没有被嵌入恶意代码， 不过并不能排除其他网站就没有与 24corp-shop.com 同流合污， 我们逐一查看数据包，发现上述几个网站都存在跳转关系

这里提供几个恶意网址识别的

• https://www.urlvoid.com/
• https://www.wannabrowser.net/
• https://urlscan.io/

发现只有 stand.trustandprobaterealty 没有被标注， 不过也并不能确定不是恶意网址

4.3 最终我们分析出 受感染网站的 IP 地址是： ciniholland.nl IP ：82.150.140.30

四、提供漏洞利用工具包和恶意软件的服务器的 IP 地址是多少？

这里我们直接将HTTP传输的文件全部导出

然后… 就直接报毒了， 不过这正是我们想要的， 直接与导出的目录进行对比

答案就是这家伙啦 stand.trustandprobaterealty IP 地址为： 37.200.69.143 的， 不知道大家还不不记得，前面的恶意网址识别， 只有这个网址识别是正常网址哦

五、漏洞利用工具包(EK)利用的漏洞CVE编号

直接查看windows defender 的防护记录

六、漏洞利用文件的MD5 文件哈希是什么?

1. 我们根据windows的报毒查看是这两个

2.使用windows自带方法 Get-FileHash -Algorithm 默认是 sha256

总结

ok, 到此为止，这一整个恶意流量分析，就大致完成了，当然发挥自己的想象力还能找出更多有意思的点 ， 这是这个系列的第一篇文章， 有很多的不足之处烦请评论区讨论学习， 后续会加上对brim 这款分析工具的的介绍使用， 各位也可以自己了解下， 这款分析神器， 下一篇文章见了，哦对了， 随手点赞手有余香哦。