恶意流量分析训练十一

Posted 2022-12-28 Elwood Ying

通过该实验了解恶意流量取证分析方法，主要涉及torrent流量的知识，包括tracer，bittorrent,Deluge等。

 

 

背景：

你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然，也有一些torrent流量是合法的。

我们需要分析分析这个数据包，解答下列问题：

10.0.0.201的mac地址是多少

10.0.0.201的host name是什么

10.0.0.201的user  account name是什么

10.0.0.201的系统版本

10.0.0.201de torrent活动发生的时间

10.0.0.201下载了什么torrent文件

10.0.0.201使用了那个torrent客户端

10.0.0.201上的torrent客户端分享了哪个文件（做种）？

 

首先还是过滤出nbns的流量，来获取hostname

当然，也可以使用dhcp

接下来要找到user account name，自然是通过kerberos协议

kerberos.CNameString中CNameString代表windows的host name和user account name，那么怎么区分这两个呢？

我们先把它过滤出来再看

按照上图的方式依次展开，然后就能看到CNameString的值，右键，将其应用为列

可以看多了一列

其中以$结尾的是host name ,没有以$结尾的是user account name

 

接下来要确定windows的版本号

最简单也是最常用的方法就是通过user agent来判断

我们过滤出相应的流量

选中第一条，右键跟踪tcp流

将user agent复制出来，在这里进行解析

https://developers.whatismybrowser.com/useragents/parse/#parse-useragent

从结果中可以看到这是64位的win10

。

 

 

给我们的背景是说有torrent 流量，需要我们分析出发生的时间

我们使用bittorrent过滤

从上图可以看到发生的时间

 

 

我们知道文件扩展名为.torrent的文件包含引导torrent客户端使用bittorrent协议检索文件的信息。那么10.0.0.201下载了什么.torrent文件呢？我们可以在url里过滤出对应的字符串

可以看到只有一条对应的流量

跟踪tcp流

可以看到文件名为Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

那么其他的torrent流量呢？torrent流量还会涉及其他关键字，比如announce,scrape等

同样过滤出来

从host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的

选中第一条跟踪tcp流

在user agent中看到Deluge 1.3.15

 

 

 

Deluge是什么？

可以知道它是一个torrent客户端

那么抓到的流量究竟在tracking什么东西ine？

我们可以根据info_hash值来判断

在http get请求中，我们可以看到info_hash和peer_id

这里的值是编码过的，我们将其解码

可以使用这个网站https://www.asciitohex.com/

将其输入

点击convert

得到其16进制

然后进行搜索

可以看到是一个ubuntu 18.04的iso文件，文件名为ubuntu-18.04-desktop-and64.iso

针对其他的流量也使用同样的方法

选中之前过滤出的第二条，跟踪tcp流

解码后16进制如下

搜索

可以看到是一个avi格式的文件

 

 

我们看看直接使用info_hash进行过滤会不会找到其他的torrent文件

将sha1 hash这一行选中-》右键-》copy->…as a hex stream

然后搜索，发现还是ubuntu那个镜像文件

要快速查看其他的，可以将这一行应用为列，然后布局如下图所示

然后进行分析。

至此，我们已经解答了所有的问题

答案如下：

IP地址： 10.0.0.201

MAC地址：00:16:17:18:66:c8 (Msi_18:66:c8)

Host name: BLANCO-DESKTOP

Windows user account name: elmer.blanco

系统版本: Windows 10

torrenrt活动开始时间: S2018-07-15 at 04:17 UTC

10.0.0.201下载的Torrent 文件:

Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

Torrent客户端: Deluge version 1.3.15

被做种（共享）的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash

e4be9e4db876e3e3179778b03e906297be5c8dbe)

 

。