前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >如何检测Qakbot木马

如何检测Qakbot木马

原创
作者头像
虹科网络可视化与安全
修改2021-04-08 17:27:07
1K0
修改2021-04-08 17:27:07
举报
文章被收录于专栏:网络安全与可视化

网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容

  • Qakbot:一个活跃的银行木马
  • Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。
  • Spambot活动,分发QakBot

默认情况下,ntopng是监控实时网络的,但是将接口定向到pcap标准数据包文件,也可以读取和处理它。

分析网络流量

首先要启动ntopng,打开指定的pcap:

代码语言:javascript
复制
sudo ntopng -i 2020-12-07-Qakbot-with Cobalt Strike-and-Spambot-activity.pcap

可以通过Web gui访问ntong

代码语言:javascript
复制
http:// localhost:3000或http:// <服务器ip>:3000

ntopng将提示您输入用户名和密码。登录后,您将看到界面概述,显示选定的界面是pcap dump和pcap文件的名称:

快速浏览一下流量摘要图标可以看到,ntopng发现了许多问题:

现在,我不再检查流量警告或错误,而是从“地图”菜单导航到“主机地图”,然后在下拉过滤器菜单中选择“警报流量”。该视图提供了带有警报的主机的概述。主机映射在x轴主机(显示为带有警报的服务器)和y轴主机(显示为客户端)上显示。注意:主机可以是服务器和/或客户端。圆圈的大小与警报的数量成正比,即,最大的圆圈显示警报次数最多的主机。在过滤器下拉列表中,您可以找到其他有用的过滤器,例如“流量比率”或“ DNS请求与响应”。

继续关注最大的圆圈,即左上角的圆圈,因为该主机大约有170个警报。鼠标悬停显示IP地址10.12.7.101,单击圆圈打开主机信息页面:

从上图我们可以得到如下信息:

1、主机是Windows 8客户端;

2、主机作为客户端的安全评分为19905,单个主机的安全评分很高。ntop使用分数作为基于风险的方法来解决安全性或与协议相关的缺陷。例如,流中的恶意数据使主机得分增加210,流中的可疑数据增加200。例如,高于1000表示不良,低于100表示一切良好,相反,可以看到分数作为可能出现问题的指标;

3、在来自此主机的634个流中,有168个警报。这意味着大约。1/4的流量有问题。确实非常不寻常。

对于该主机,统计了152个SMTP(或SMTPS)流。这意味着用户已连接到许多不同的SMTP服务器。同样,这对于客户来说是非常不寻常的。一个普通用户可能拥有5或10个不同的电子邮件帐户,导致10+ SMTP流,但是152个SMTP连接看起来不正常。

现在,让我们检查由ntopng生成的警报。通过单击警告标志 ,主机视图的流警报将打开:

我按得分筛选的列表,以获得得分最高的警报。

让我们仔细看看第一个错误,“ TLS证书自签名”。我们可以通过按放大镜按钮来向下钻取:

再次看到有很多关于流的信息。为了进行安全性分析,我们仔细研究三个突出显示的项目:

1、客户请求的提取URL http:// amajai-technologies .world /看起来一目了然。它看上去是不是与akamaitechnologies.com很相似?相似域在日常工作中容易受到监督,并且是真正的网络安全威胁。

2、TLS证书是自签名的:红色标志。没有信誉良好或专业的服务会使用自签名证书进行外部/ Internet通信。此外,TLS颁发者和主题字段为空,红色标记变大了。作为参考,证书颁发者的信息如下所示:

3、假设这个流有什么奇怪的地方,可以通过JA3客户端指纹进行验证。 如下图所示客户端指纹被列为恶意。从JA3到sslbl.abuse.ch进一步了解,是的,客户端证书是恶意的。

虽然被列入黑名单的JA3并不是Qakbot,但我们刚刚发现,这台主机感染了Gozi银行木马。

结论

即使是用于分析记录的网络流量,ntopng还是帮助您大致了解网络情况的好方法。但是ntopng的真正价值在于,它可以实时进行所有评分和警报。面对上述恶意软件,我可能不会立即知道它到底是什么类型的恶意软件,但是生成的警报强烈表明该主机存在问题,可以将其与网络隔离以进行进一步分析。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 分析网络流量
  • 结论
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档