恶意流量分析训练十一
Posted Elwood Ying
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了恶意流量分析训练十一相关的知识,希望对你有一定的参考价值。
通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。
背景:
你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。
我们需要分析分析这个数据包,解答下列问题:
10.0.0.201的mac地址是多少
10.0.0.201的host name是什么
10.0.0.201的user account name是什么
10.0.0.201的系统版本
10.0.0.201de torrent活动发生的时间
10.0.0.201下载了什么torrent文件
10.0.0.201使用了那个torrent客户端
10.0.0.201上的torrent客户端分享了哪个文件(做种)?
首先还是过滤出nbns的流量,来获取hostname
当然,也可以使用dhcp
接下来要找到user account name,自然是通过kerberos协议
kerberos.CNameString中CNameString代表windows的host name和user account name,那么怎么区分这两个呢?
我们先把它过滤出来再看
按照上图的方式依次展开,然后就能看到CNameString的值,右键,将其应用为列
可以看多了一列
其中以$结尾的是host name ,没有以$结尾的是user account name
接下来要确定windows的版本号
最简单也是最常用的方法就是通过user agent来判断
我们过滤出相应的流量
选中第一条,右键跟踪tcp流
将user agent复制出来,在这里进行解析
https://developers.whatismybrowser.com/useragents/parse/#parse-useragent
从结果中可以看到这是64位的win10
。
给我们的背景是说有torrent 流量,需要我们分析出发生的时间
我们使用bittorrent过滤
从上图可以看到发生的时间
我们知道文件扩展名为.torrent的文件包含引导torrent客户端使用bittorrent协议检索文件的信息。那么10.0.0.201下载了什么.torrent文件呢?我们可以在url里过滤出对应的字符串
可以看到只有一条对应的流量
跟踪tcp流
可以看到文件名为Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
那么其他的torrent流量呢?torrent流量还会涉及其他关键字,比如announce,scrape等
同样过滤出来
从host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的
选中第一条跟踪tcp流
在user agent中看到Deluge 1.3.15
Deluge是什么?
可以知道它是一个torrent客户端
那么抓到的流量究竟在tracking什么东西ine?
我们可以根据info_hash值来判断
在http get请求中,我们可以看到info_hash和peer_id
这里的值是编码过的,我们将其解码
可以使用这个网站https://www.asciitohex.com/
将其输入
点击convert
得到其16进制
然后进行搜索
可以看到是一个ubuntu 18.04的iso文件,文件名为ubuntu-18.04-desktop-and64.iso
针对其他的流量也使用同样的方法
选中之前过滤出的第二条,跟踪tcp流
解码后16进制如下
搜索
可以看到是一个avi格式的文件
我们看看直接使用info_hash进行过滤会不会找到其他的torrent文件
将sha1 hash这一行选中-》右键-》copy->…as a hex stream
然后搜索,发现还是ubuntu那个镜像文件
要快速查看其他的,可以将这一行应用为列,然后布局如下图所示
然后进行分析。
至此,我们已经解答了所有的问题
答案如下:
IP地址: 10.0.0.201
MAC地址:00:16:17:18:66:c8 (Msi_18:66:c8)
Host name: BLANCO-DESKTOP
Windows user account name: elmer.blanco
系统版本: Windows 10
torrenrt活动开始时间: S2018-07-15 at 04:17 UTC
10.0.0.201下载的Torrent 文件:
Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
Torrent客户端: Deluge version 1.3.15
被做种(共享)的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash
e4be9e4db876e3e3179778b03e906297be5c8dbe)
。
以上是关于恶意流量分析训练十一的主要内容,如果未能解决你的问题,请参考以下文章
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
在电商行业,采用flink进行热门实时流量统计,流量PV和UV分析市场营销分析恶意登录监控订单支付实时监控等场景的解决方案