应急靶场 | 2014-11-16流量分析练习

这篇文章来自老应急师@沉默树人老哥投稿，同时也给大家分享一个学习流量包分析和恶意文件分析的网站：https://www.malware-traffic-analysis.net/

此次靶场地址：

https://www.malware-traffic-analysis.net/2014/11/16/index.html

0x01 问题

第 1 级问题：

1) 被感染的 Windows 虚拟机的 IP 地址是多少？

2) 被感染的 Windows 虚拟机的主机名是什么？

3) 受感染虚拟机的 MAC 地址是多少？

4) 受感染网站的 IP 地址是什么？

5) 被入侵网站的域名是什么？

6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？

第 2 级问题：

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？

2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？

4) 有效载荷交付了多少次？

5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

第 3 级问题：

1) 检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

3) 提取漏洞利用文件。md5 文件哈希是什么？

4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户（或订阅者）使用 VRT 规则集运行自己的 Snort 版本，会触发哪些 VRT 规则？

0x02 观察&解题

0x21 先从第1级问题看

1) 被感染的 Windows 虚拟机的 IP 地址是多少？

图片

很明显从包序1到10就可以看到虚拟机地址是172.16.165.165，大概从包序11开始交互，但是交互地址出现了变化。

2) 被感染的 Windows 虚拟机的主机名是什么？

图片

这里我用来最省事的方法，ctrl+f，选“分组详情”、“区分大小写”、“字符串”直接过滤出Host Name找到数据包中的主机名【其实是我懒】：K34EN6W3N-PC

科学的方法可以看到下放的注释，存在一个dhcp表示，靠谱的直接从过滤器上输入dhcp就行了。

图片

图片

最详细的方法是这个，dhcp.option.hostname精准定位，能出现这样字段的协议还有nbns/http/kerberos

图片

3) 受感染虚拟机的 MAC 地址是多少？

同理，可以找到mac地址：f0:19:af:02:9b:f1。精确语句为：dhcp.hw.mac_addr

图片

图片

4) 受感染网站的 IP 地址是什么？

5) 被入侵网站的域名是什么？

两题合起来说，上面的分析过程会乱跳包，那么这里重回到包序分析。

由于是找网站，那么根据http协议快速追包，可以看到包序139/140发生了改变。

图片

往前看204.79.197.200是http://www.bing.com搜索引擎，应该是攻击者信息收集所用

图片

利用语句ip.addr==82.150.140.30，直接过出关于82.150.140.30的包，可以看见一个域名。

图片

那么答案就是82.150.140.30和www.ciniholland.nl。

6) 提供漏洞利用工具包和恶意软件的 IP 地址和域名是什么？

打陇剑的时候，粗暴的方法不行，那在这里试试，直接提取文件看看有啥。暴力导出Http全部数据。

图片马应该不是，不然我的杀软应该报毒了，剩下就是圈住的可能有问题，但是打不开，只能去包看。

图片

图片

根据这里列出来的追包，可以看到ip为37.200.69.143，域名为http://stand.trustandprobaterealty.com

图片

0x22 看二级问题

1) 指向漏洞利用工具包 (EK) 登陆页面的重定向 URL 是什么？

根据上下文来看，“重定向”到，那么在37.200.69.143之前肯定有一个地址追包37这个地址之前一段就行了。包序1129有dns解析的痕迹，往上找。

图片

包序977开始到1091结束，出现一个188.225.73.100的可疑地址，附带一个域名http://24corp-shop.com/，这个就是答案了

图片

图片

2) 除了登陆页面（其中包含 CVE-2013-2551 IE 漏洞），EK 还发送了哪些其他漏洞？

回到刚才导出数据的界面可以看到，红框是题目所述IE漏洞、蓝框是flsh有关的洞、黄框是java有关的洞。

看flash漏洞将其导出保存为swf格式，上传到微步沙箱，识别为cve-2014-0569

看java漏洞将其导出为jar包，上传微步沙箱，识别为cve-2012-0507

图片

【漏洞分析后续再写（水）一篇文章，太久没拆漏洞要重新捡起来】

万恶之源在包序1566里，看这应该是混淆加密过的。之后分析。

图片

4）有效载荷交付了多少次？

在导出处可以看到，一共3次。

图片

5) 将 pcap 提交给 VirusTotal 并找出触发了哪些 snort 警报。Suricata 警报中显示的 EK 名称是什么？

图片

图片

图片

0x23 最后第三级问题

1) 检查我的网站，我（和其他人）称这个漏洞利用工具包是什么？

RIG

图片

2) 受感染网站的哪个文件或页面包含带有重定向 URL 的恶意脚本？

既然说是受感染的网站，那么过滤语句直接过滤出来排查就行了。

追到161包，然后追踪其http流

图片

图片

3) 提取漏洞利用文件。md5 文件哈希是什么？

提取Jar包和swf传到微步沙箱

178be0ed83a7a9020121dee1c305fd6ca3b74d15836835cfb1684da0b44190d3
e2e33b802a0d939d07bd8291f23484c2f68ccc33dc0655eb4493e5d3aebc0747

4) VirusTotal 没有在 pcap 分析的“Snort 警报”部分下显示所有 VRT 规则。如果您作为注册用户（或订阅者）使用 VRT 规则集运行自己的 Snort 版本，会触发哪些 VRT 规则？

其实没写过这个VRT规则，提出一些自己的看法。

根据有效载荷的交互上看，这个RIG工具的uri有一定的规律，可以进行过滤

图片

0x03 总结

这一题顺序大概在：

图片

坑点在那个万恶之源，分析很困难。然后还有数据包巨大，思路要清晰，结合对不同数据在wireshark里的结构，进行排查。