打靶记录(七四)之THMCarnage
收到攻击的主机ip应该是10.9.23.102
第一次HTTP连接到恶意IP的日期和时间是什么?
选择wireshark最上方的”view->display format->UTC data time of day”
过滤http协议,第一条流量,右键copy->as filter
2021-09-24 16:44:38
下载的zip文件的名称是什么?
也是第一条流量,documents.zip
托管恶意zip文件的域是什么?
追踪第一条流量的http流,可以找到请求中的host是attirenepal.com
如果不下载文件,zip文件中的文件名是什么?
在同一条流量中,能看到zip的文件头中chart-1530076591.xls
下载zip文件的恶意IP的Web服务器的名称是什么?
在同一条流量中,server字段:LiteSpeed
上一个问题中的Web服务器版本是什么?
同一条流量中x-powered-by字段:PHP/7.2.34
恶意文件从多个域下载到受害者主机。这项活动涉及哪三个
根据房间提示,https协议,并且有时间范围
既然有https,那么必然涉及到加密协议,这个流量包中的加密协议是tlsv1.2
过滤出开始tls握手的流量,并且限制时间范围
tls.handshake.type==1 and frame.time >= "2021-09-24 16:45:11" and frame.time <= "2021-09-24 16:45:30" |
https://www.cloudflare.com/zh-cn/learning/ssl/what-happens-in-a-tls-handshake/
Des一共有5个ip,查看server_name:
jewels.com.au,thietbiagt.com,new.americold.com
有两个似乎不是用于下载的
哪个证书颁发机构向上一个问题中的第一个域颁发了SSL证书?
第一条流量跟踪tcp流,在开头能找到证书颁发的组织
GoDaddy
Cobalt Strike服务器的第一个IP地址的域名是什么?
贴一篇介绍CS的文章
https://www.mandiant.com/resources/blog/defining-cobalt-strike-components
CS通常通过DNS和HTTPS请求的方式进行通信,房间提示根据conversation menu来查看
点击wireshark最上方”statistics->conversations”,寻找端口是80或者8080的IP,也许是因为这两个监听端口比较常见而且容易规避防火墙?
https://www.virustotal.com/gui/ip-address
一个个搜索,没什么别的办法,在COMMUNITY能看是否是CS服务器
185.106.96.158,185.125.204.174
上一个问题中第一个Cobalt Strike IP地址的主机头是什么?
同样在COMMUNITY能找到server header
ocsp.verisign.com
Cobalt Strike服务器的第一个IP地址的域名是什么?
同样在COMMUNITY找到survmeter.live
第二个Cobalt Strike服务器IP的域名是什么?
securitybusinpuff.com
感染后流量的域名是什么?
在计算机安全领域,这通常指的是系统或网络在被恶意软件感染后,与恶意控制服务器进行通信的网络流量。这些流量可能包含了受感染系统上传数据、接收命令等操作。
根据房间提示:
http.request.method==POST
全部指向208.91.128.6这个IP,跟踪HTTP流找到:maldivehost.net
受害主机发送到感染后流量中涉及的恶意域的前11个字符是什么?
找第一条流量:zLIisQRWZI9
发送到C2服务器的第一个数据包的长度是多少?
也是第一条流量:281
上一个问题中恶意域的服务器标头是什么?
同一条流量:
Apache/2.4.49 (cPanel) OpenSSL/1.1.1l mod_bwlimited/1.4
恶意软件使用API来检查受害者机器的IP地址。对IP检查域的DNS查询发生的日期和时间是什么?
筛选dns流量,并且Ctrl+F搜索”api”选择字符串找到api.ipify.org
2021-09-24 17:00:04
上一个问题中DNS查询中的域是什么?
看起来有一些恶意垃圾邮件(malspam)活动正在进行。在流量中观察到的第一个MAIL FROM地址是什么?
过滤smtp协议,找到一条MAIL FROM流量: farshin@mailfa.com
观察到SMTP通信有多少个数据包?
直接看wireshark右下角Dispalyed:1439
碎碎念
进一步熟悉了一些wireshark的操作,对于https还得更加深入了解。流量分析还是很有意思的233