WireShark网络取证分析第五集

题目介绍

这是一个早晨的仪式，莫尼曼尼一边啜饮着咖啡，一边快速浏览着夜里收到的邮件，其中一条消息引起了她的注意，因为它显然是通过了邮件过滤器的垃圾邮件，这条信息颂扬了在网上买药的好处并包含了一个网上药店的链接，莫尼曼尼女士认为"人们真的会相信这种东西吗？"，她很想知道网站如何说服访问者购买，所以她点击了链接，然而该网站加载缓慢似乎是坏了，页面上没有内容，失望之余莫尼列关闭了浏览器窗口，继续她的一天，她没有意识到她的Windows XP电脑刚刚被感染了

现在的你是调查员且拥有记录Moneymany女士与网站互动的网络截图(PCAP)文件，您的任务是了解Moneymany女士点击链接后她的系统可能会发生什么情况，您的分析将从PCAP文件开始并揭示一个恶意的可执行文件，这是这个谜题的网络捕获文件，这个PCAP文件的MD5哈希是c09a3019ada7ab17a44537b069480312，请使用正式提交表格提交您的答案 1.作为感染过程的一部分，Moneymany女士的浏览器下载了两个Java小程序，这两个程序的名字是什么？实现这些小程序的jar文件？ 2.Moneymany女士在被感染的Windows系统上的用户名是什么？ 3.这个事件的起始网址是什么？换句话说Moneymany女士可能点击了哪个网址？ 4.作为感染的一部分一个恶意的Windows可执行文件被下载到了Moneymany的系统中，文件的MD5哈希是什么？提示：以"91ed"结尾 5.用于保护恶意Windows可执行文件的打包程序的名称是什么？提示：这是"主流"恶意软件中最流行的免费打包程序之一 6.恶意Windows可执行文件的解压缩版本的MD5哈希是什么？ 7.恶意可执行文件试图使用硬编码的IP地址连接到互联网主机(没有DNS查找)，那个互联网主机的IP地址是什么？

此外请注意为了完成对该事件的全面分析，我们应该检查进入Moneymany女士系统的恶意可执行文件，这个任务超出了这个特定谜题的范围，但是我们可以在后面的谜题中看到它

报文分析

报文下载：https://forensicscontest.com/contest05/infected.pcap

分析流程： 首先对于第一个问题"作为感染过程的一部分，Moneymany女士的浏览器下载了两个Java小程序，这两个程序的名字是什么？实现这些小程序的jar文件?"，由于是使用浏览器下载的，所以我们直接检索HTTP协议即可获取到对应的程序名称为：q.jar、sdfq.jar，同时可以了解到攻安娜的IP地址为192.168.23.129，恶意文件托管地址为59.53.91.102

http

第二种方法：依次点击"File-Export Object-HTTP"即可看到所以通过HTTP请求的数据对象，并从中检索到对应的jar包

随后我们来到第二个问题"Moneymany女士在被感染的Windows系统上的用户名是什么？"，在这里有一个问题就是不知道什么时候会在通信数据包中留下受害者用户的hostname，但是考虑到病毒被下载到本地并且恶意软件已经感染了受害者的机器，所以后期会与C2进行交互窃取用户数据，给予这一假设回到pcap文件寻找可能包含Moneymany女士用户名的潜在渗透流量，随后找到ADMINISTRATOR

随后我们继续第三个问题——"这个事件的起始网址是什么？换句话说Moneymany女士可能点击了哪个网址？"，通过查看数据包我们可以看到这里进行了DNS查询对应的nttjo.eu域名对应的IP地址信息，随后通过TCP三次握手建立连接，访问网站地址为http://nrtjo.eu/true.php

随后我们再来看第四个问题——"作为感染的一部分一个恶意的Windows可执行文件被下载到了Moneymany的系统中，文件的MD5哈希是什么？提示：以"91ed"结尾"，由于是windows环境中所以我们需要从pcap文件中提取一个可执行文件，为此我可以在Wireshark中进行如下搜索检索包含exe文件数据包

tcp contains ".exe"

随后我们直接Flow TCP数据流：

随后从中我们可以看到下载的文件名称为file.exe

由于要计算文件的md5，所以我们需要导出对象

但是在导出对象时我们发现有很多对象，没法一次性导出

所以我们直接借助NetworkMiner工具来进行导出操作

随后计算文件Md5值，根据提示定位到最终的文件Md5值为：5942BA36CF732097479C51986EEE91ED

接下来我们看第五个问题——用于保护恶意Windows可执行文件的打包程序的名称是什么？提示：这是"主流"恶意软件中最流行的免费打包程序之一，由于程序在打包的可执行文件上会留下可识别的签名，通过执行以下命令，我们可以看到UPX留下的一些签名，他是最著名的可执行文件打包员之一

随后是第6个问题——恶意Windows可执行文件的解压缩版本的MD5哈希是什么？

随后的第七个问题——恶意可执行文件试图使用硬编码的IP地址连接到互联网主机(没有DNS查找)，那个互联网主机的IP地址是什么？，关于这个问题我们可以看到整个通信中涉及到的IP地址有如下六个地址：

随后查找dns协议查看那个地址没有进行DNS查询直接进行了连接操作，这里的192.168.*.*属于内网地址，无需关注，可以看到为213.155.29.144，其实通过NetWorkMiner也可以直接辨别，因为如果是没有进行DNS解析那么IP地址后面是不会有对应的域名的，如果有域名则说明有域名的解析操作

文末小结

本篇文章主要介绍通过wireshark对恶意通信流量的分析，主要涉及过滤器的使用、文件提取、数据流跟踪等维度