wireshark数据流分析-学习日记day1

news/2024/7/26 10:36:53/文章来源:https://blog.csdn.net/XYpangSJ/article/details/137199519

参考内容：

网址	hxxp://194.55.224[.]9/liuz/5/fre.php
描述	Loki Bot C2 网址早在 2023-08-15 就被注意到了
2023-07-27 记录的 IcedID C2 域：	vrondafarih[.]com - HTTP traffic magiketchinn[.]com - HTTPS traffic magizanqomo[.]com - HTTPS traffic

网址	87.121.221[.]212:7888 - tcp://adaisreal.ddns[.]net:7888/
描述	Ave Maria RAT （Warzone RAT）的 C2 早在 2023-06-05 就被注意到了
SHA256 哈希	adfa401cdfaac06df0e529bc9d54b74cea9a28d4266a49edafa5b8e04e3b3594
文件大小	604,672 字节
文件名	未知
文件说明	Windows 可执行文件（EXE），使用 FTP 进行数据泄露的信息窃取程序

网址	190.107.177[.]239：21 - fxp://valvulasthermovalve[.]CL/
描述	早在 2023-06-07 就注意到，合法站点上的 FTP 服务器用于数据泄露，也被上述恶意软件样本使用
SHA256 哈希	f24259e65a935722c36ab36f6e4429a1d0f04c0ac3600e4286cc717acc5b03d7
文件大小	134,140 字节
文件名	产品详情-3922941.one
文件说明	OneNote 文件作为附件在未加密的垃圾邮件机器人电子邮件中 Emotet 于 2023-03-16

Wireshark Tutorial: Display Filter Expressions (paloaltonetworks.com)

过滤器三态：

红色表示语法不合法

黄色表示合法语句但无法执行（3版本）

但是4版本会表绿并搜索http

绿色表示正确语法有结果

布尔表达式

布尔运算符	表达	替代表达式
等于	==	eq
不	!	not
和	&&	and
或	\|\|	or

过滤流量

HTTP 请求：http.request

ssdp:ssdp

简单服务发现协议，此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址

练习1-5

统计一下

可疑文件fre.php

过滤http，https除去ssdp

(http.request or tls.handshake.type eq 1) and !(ssdp)

发现请求指向 URL http://194.55.224[.]9/liuz/five/fre.php

报告即可

练习2-5

作者说是标准变体 IcedID （Bokbot）

一样过滤

http.request or tls.handshake.type eq 1

发现

根据

Fork in the Ice：IcedID 恶意软件分析 |美国证明点 (proofpoint.com)

发现这些域名都是相关域名

报告即可

创建筛选器按钮以简化过滤

过程如图所示

创建过后会在最后生成快捷键使用时点击即可

过滤非 Web 流量

练习3-5

作者说是Ave Maria RAT（也称为 Warzone RAT）的远程访问工具（RAT）恶意软件生成的感染后流量

过滤非网络流量

(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0) or dns) and !(ssdp）

找到特征Ave Maria（恶意软件家族） (fraunhofer.de)

报告

过滤 FTP 流量

练习4-5

筛选表达式	描述
ftp	控制通道中的 FTP 活动（TCP 端口 21）
ftp-data	数据通道中的 FTP 活动（临时 TCP 端口）

筛选ftp流

ftp.request.command or (ftp-data and tcp.seq eq 1)

发现用户密码和发送html到服务器的STOR命令

追踪tcp流

发现命令过程

报告

电子邮件流量

练习5-5

作者说：Spambot 恶意软件可以将受感染的主机变成旨在不断发送电子邮件的垃圾邮件机器人。

所以会有大量的smtp文件，过滤一下

smtp or dns

继续过滤 smtp

smtp.req.command

发现10.3.16.101对多个服务器上的ip发送了请求，但是部分加密了

继续过滤非加密请求

smtp.data.fragment

追踪tcp流发现垃圾邮件

上报

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.luyixian.cn/news_show_1033946.aspx

如若内容造成侵权/违法违规/事实不符，请联系dt猫网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！