wireshark数据流分析-学习日记day1

news/2024/6/16 10:15:19/文章来源:https://blog.csdn.net/XYpangSJ/article/details/137199519

参考内容:

网址hxxp://194.55.224[.]9/liuz/5/fre.php
描述Loki Bot C2 网址早在 2023-08-15 就被注意到了
2023-07-27 记录的 IcedID C2 域:
  • vrondafarih[.]com - HTTP traffic
  • magiketchinn[.]com - HTTPS traffic
  • magizanqomo[.]com - HTTPS traffic
网址87.121.221[.]212:7888 - tcp://adaisreal.ddns[.]net:7888/
描述Ave Maria RAT (Warzone RAT) 的 C2 早在 2023-06-05 就被注意到了
SHA256 哈希adfa401cdfaac06df0e529bc9d54b74cea9a28d4266a49edafa5b8e04e3b3594
文件大小604,672 字节
文件名未知
文件说明Windows 可执行文件 (EXE),使用 FTP 进行数据泄露的信息窃取程序
网址190.107.177[.]239:21 - fxp://valvulasthermovalve[.]CL/
描述早在 2023-06-07 就注意到,合法站点上的 FTP 服务器用于数据泄露,也被上述恶意软件样本使用
SHA256 哈希f24259e65a935722c36ab36f6e4429a1d0f04c0ac3600e4286cc717acc5b03d7
文件大小134,140 字节
文件名产品详情-3922941.one
文件说明OneNote 文件作为附件在未加密的垃圾邮件机器人电子邮件中 Emotet 于 2023-03-16

Wireshark Tutorial: Display Filter Expressions (paloaltonetworks.com)

过滤器三态:

红色表示语法不合法

黄色表示合法语句但无法执行(3版本)

但是4版本会表绿并搜索http

绿色表示正确语法有结果

 

 布尔表达式

布尔运算符表达替代表达式
等于==

eq

!not
&&and
||or

过滤流量

HTTP 请求:http.request

ssdp:ssdp

简单服务发现协议,此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址

练习1-5

统计一下

可疑文件fre.php

过滤http,https除去ssdp

(http.request or tls.handshake.type eq 1) and !(ssdp)

发现请求指向 URL http://194.55.224[.]9/liuz/five/fre.php

报告即可

练习2-5

作者说是标准变体 IcedID (Bokbot)

一样过滤

http.request or tls.handshake.type eq 1

发现

根据

Fork in the Ice:IcedID 恶意软件分析 |美国证明点 (proofpoint.com)

发现这些域名都是相关域名

报告即可

创建筛选器按钮以简化过滤

过程如图所示

创建过后会在最后生成快捷键使用时点击即可

 

 过滤非 Web 流量

练习3-5

作者说是Ave Maria RAT(也称为 Warzone RAT)的远程访问工具 (RAT) 恶意软件生成的感染后流量

过滤非网络流量

(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0) or dns) and !(ssdp)

找到特征Ave Maria(恶意软件家族) (fraunhofer.de)

报告

 过滤 FTP 流量

练习4-5

筛选表达式描述
ftp控制通道中的 FTP 活动(TCP 端口 21)
ftp-data数据通道中的 FTP 活动(临时 TCP 端口)

 筛选ftp流

ftp.request.command or (ftp-data and tcp.seq eq 1)

发现用户 密码 和 发送html到服务器的STOR命令

追踪tcp流

发现命令过程

报告

 电子邮件流量

练习5-5

作者说:Spambot 恶意软件可以将受感染的主机变成旨在不断发送电子邮件的垃圾邮件机器人。

所以会有大量的smtp文件,过滤一下

smtp or dns

继续过滤 smtp

smtp.req.command

发现10.3.16.101对多个服务器上的ip发送了请求,但是部分加密了

继续过滤非加密请求

smtp.data.fragment

追踪tcp流发现垃圾邮件

 

上报

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.luyixian.cn/news_show_1033946.aspx

如若内容造成侵权/违法违规/事实不符,请联系dt猫网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

关系(二)利用python绘制热图

关系(二)利用python绘制热图 热图 (Heatmap)简介 热图适用于显示多个变量之间的差异,通过颜色判断彼此之间是否存在相关性。 快速绘制 基于seaborn import seaborn as sns import pandas as pd import numpy as np i…

关于磁盘算法

性能瓶颈:IO–>IO调度–>IO调度算法–>1楼到顶楼,再从零楼下来,效率高–>IO调度目标–>IO算法–>电梯算法–linux6和Linux7算法不一样–>linux6 单队列 Linux7 多队列 inux6: 试用于不同的环境和介质。 noop 适合闪存&…

机器学习第32周周报TAD

文章目录 week32 TAD摘要Abstract一、时序噪声检测二、文献阅读1. 题目2. abstract3. 问题与模型阐述3.1 TAD评估中的陷阱3.1.1 问题描述3.1.2 具有高 F1PA 的随机异常分数3.1.3 具有较高 F1 的未经训练的模型 3.2 对 TAD 进行严格评估3.2.1 TAD 的新基线3.2.2 新的评估方案 PA…

HarmonyOS 应用开发之featureAbility接口切换particleAbility接口切换

featureAbility接口切换 FA模型接口Stage模型接口对应d.ts文件Stage模型对应接口getWant(callback: AsyncCallback<Want>): void; getWant(): Promise<Want>;ohos.app.ability.UIAbility.d.tslaunchWant: Want;startAbility(parameter: StartAbilityParameter, c…

【C++】lambda 表达式 / 包装器 / bind 绑定

目录 一. lambda 表达式1. lambda 表达式的语法1. lambda 表达式的使用2. lambda 表达式的捕捉列表 二. 包装器三. bind 绑定 一. lambda 表达式 Lambda 表达式是 C11 标准引入的一种新特性, 它提供了一种方便的方式来定义匿名函数. lambda 表达式实际上是一个匿名的仿函数; …

Maven是什么? Maven的概念+作用

1.Maven的概念 Maven中文意思为“专家“、”内行“的意思&#xff0c;它是一个项目管理工具&#xff0c;可以对Java项目进行构建、依赖管理&#xff0c;通俗点 就是通过pom.xml文件的配置获取jar包不用手动的去添加jar包。 2.Maven的作用 对于大的工程&#xff0c;需要引用各…

Linux:基本指令篇

文章目录 前言1.ls 指令2.pwd命令3.cd 指令4.touch指令5.mkdir指令&#xff08;重要&#xff09;6.rmdir指令 && rm 指令&#xff08;重要&#xff09;7.man指令&#xff08;重要&#xff09;8.cp指令&#xff08;重要&#xff09;9.mv指令&#xff08;重要&#xff09…

系列学习前端之第 8 章:一文掌握 Vue2(核心基础篇)

1、 Vue简介 1.1 简介 Vue 是动态构建用户界面的渐进式 JavaScript 框架&#xff0c;Vue 只关注视图层&#xff0c; 采用自底向上增量开发的设计。采用组件化模式&#xff0c;提高代码复用率、且让代码更好维护。借鉴 Angular 的模板和数据绑定技术声明式编码&#xff0c;让编…

isaacgym 渲染黑屏

问题描述&#xff1a; isaacgym安装完IsaacGym_Preview_4_Package.tar.gz之后&#xff0c;运行python joint_monkey.py没有任何内容现实&#xff0c;但是终端还是正常输出信息。 环境是ubuntu22服务器&#xff0c;python3.8&#xff0c;nvidia Driver Version: 515.65.01 CUDA…

Day57:WEB攻防-SSRF服务端请求Gopher伪协议无回显利用黑白盒挖掘业务功能点

目录 SSRF-原理&挖掘&利用&修复 SSRF无回显解决办法 SSRF漏洞挖掘 SSRF协议利用 http:// &#xff08;常用&#xff09; file:/// &#xff08;常用&#xff09; dict:// &#xff08;常用&#xff09; sftp:// ldap:// tftp:// gopher:// &#xff08;…

搜索与图论——Kruskal算法求最小生成树

kruskal算法相比prim算法思路简单&#xff0c;不用处理边界问题&#xff0c;不用堆优化&#xff0c;所以一般稀疏图都用Kruskal。 Kruskal算法时间复杂度O(mlogm) 每条边存结构体里&#xff0c;排序需要在结构体里重载小于号 判断a&#xff0c;b点是否连通以及将点假如集合中…

65W智能快充—同为科技桌面PDU插座推荐

近10年&#xff0c;移动设备的智能化、功能化已经完全且紧密的融入到我们的基础生活与工作当中。 在常态化的电子设备的应用中&#xff0c;设备的电力续航以及后续的供电充电就尤为重要。 就目前而言&#xff0c;所有消费电子产品中的输入以及充电的接口&#xff0c;usb-c可以…

竞赛 python图像检索系统设计与实现

0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &#x1f6a9; python图像检索系统设计与实现 &#x1f947;学长这里给一个题目综合评分(每项满分5分) 难度系数&#xff1a;3分工作量&#xff1a;3分创新点&#xff1a;4分 该项目较为新颖&#xff0c…

华为开源自研AI框架昇思MindSpore应用案例:梯度累加

目录 一、环境准备1.进入ModelArts官网2.使用CodeLab体验Notebook实例 二、案例实现 梯度累加的训练算法&#xff0c;目的是为了解决由于内存不足&#xff0c;导致Batch size过大神经网络无法训练&#xff0c;或者网络模型过大无法加载的OOM&#xff08;Out Of Memory&#xff…

C++之类和对象的中篇

&#x1d649;&#x1d65e;&#x1d658;&#x1d65a;!!&#x1f44f;&#x1f3fb;‧✧̣̥̇‧✦&#x1f44f;&#x1f3fb;‧✧̣̥̇‧✦ &#x1f44f;&#x1f3fb;‧✧̣̥̇:Solitary_walk ⸝⋆ ━━━┓ - 个性标签 - &#xff1a;来于“云”的“羽球人”。…

分布式任务调度框架XXL-JOB

1、概述 XXL-JOB是一个分布式任务调度平台&#xff0c;其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线&#xff0c;开箱即用。 官方文档&#xff1a;https://www.xuxueli.com/xxl-job/#%E4%BA%8C%E3%80%81%E5%BF%AB%E9%80%9F%E…

BGP实训

BGP基础配置实训 实验拓扑 注&#xff1a;如无特别说明&#xff0c;描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备&#xff0c;R2 或 SW2 对应拓扑中设备名称末尾数字为2的设备&#xff0c;以此类推&#xff1b;另外&#xff0c;同一网段中&#xff0c;IP 地址的主…

Vue基础配置、组件通信、自定义指令

基础配置 Vue框架已经集成了webpack配置 小注意点 vbase 快速生成vue模板 组件名必须是多词格式(驼峰模式) 具体三种写法: ①小驼峰:abcDef.vue ②大驼峰&#xff1a;AbcDef.vue ③中横线&#xff1a;abc-def.vue 假如文件名不符合多次格式的补救办法&#xff1a; 导出重命名…

分享一种快速移植OpenHarmony Linux内核的方法

移植概述 本文面向希望将 OpenHarmony 移植到三方芯片平台硬件的开发者&#xff0c;介绍一种借助三方芯片平台自带 Linux 内核的现有能力&#xff0c;快速移植 OpenHarmony 到三方芯片平台的方法。 移植到三方芯片平台的整体思路 内核态层和用户态层 为了更好的解释整个内核…

站群CMS系统

站群CMS系统是一种用于批量建立和管理网站的内容管理系统&#xff0c;它能够帮助用户快速创建大量的网站&#xff0c;并实现对这些网站的集中管理。以下是三个在使用广泛的站群CMS系统&#xff0c;它们各具特色&#xff0c;可以满足不同用户的需求。 1. Z-BlogPHP Z-BlogPHP是…