恶意流量分析训练十

通过该实验了解恶意流量取证分析基本方法，本次实验主要涉及：Upatre,Dyre,SSL证书、STUN流量、mx记录等。

为了得到host name,先直接过滤出nbns看看

当然是用dhcp也是可以的，为了过滤出dhcp可以通过端口指定为udp67过滤也可以通过bootp过滤

我们这里通过端口过滤

接下来过滤出http请求看看

注意到一些http流量并不是标准端口，并且有些不太正常的get请求

参考给出的告警日志

主要是两个关键字，一个是Upatre,一个是Dyre

搜索引擎搜索看看

 

 

 

。

通过查看思科Talos团队的分析文章https://blog.talosintelligence.com/2015/04/threat-spotlight-upatre-say-no-to.html

我们得知Upatre发起的HTTP GET请求的user agent是伪造的并且经常更换以伪造成不同的浏览器，同时非常规范，可以以此来躲避一些检测，我们可以看看这次给的数据包中的情况

对照着告警日志中的目的ip为104.238.141.75，即第二条

在wireshark中选择对应的流量跟踪tcp流

 

从上图的user agent可以看出在这个例子里模仿的是firefox 36.0，这与我们在Talos的文章中看到的user agent是一样的

接下来看看GET比较奇怪的流量，先看第三条

跟踪其tcp流

我们来分析一下GET的组成，WY22可能是一次攻击行动的代号，PWNDRINE-PC是主机名，61-SP1代表着操作系统，为Windows7(NT 6.1)Service Pack1

继续看这条下载了tar压缩文件的

 

将其目的ip与告警日志对应

可以看到这是Dyre在下载额外的payload

跟踪tcp流

 

 

 

我们注意到告警日志还有ssl证书，所以可以尝试在wireshark中过滤出看看

 

我们注意到上图中country,state,locality,organization name等都是无意义的随机字符，这是一个异常的地方

在这篇文章中也之处，Dyre会使用自己的ssl证书

与我们分析出的流量符合

而通过这篇trendmicro的技术分析文章：https://blog.trendmicro.com/trendlabs-security-intelligence/a-closer-look-at-dyre-malware-part-1/

我们可以知道，Dyre常常会有STUN流量

STUN比较不常见，简单介绍下：STUN，首先在RFC3489中定义，作为一个完整的NAT穿透解决方案，英文全称是Simple Traversal of UDP Through NATs，即简单的用UDP穿透NAT。如果它位于进行网络地址转换NAT的网络中，这是一种终端主机发现其公共IP地址的方法。这是应用实时语音，视频和其他消息服务来发现其公共IP地址或在互联网上公开显示的IP地址的常用方法。网络犯罪分子使用此方法准确了解其恶意软件的位置（并可能知道谁正在尝试运行它）。

可以使用下图的命令过滤

既然涉及了dns，我们继续看看dns还查询了哪些可疑的

 

在上图中注意到查询了docs233.com的mx记录

这里简单介绍下mx记录

邮件交换记录(MX record)是域名系统（DNS）中的一种资源记录类型，用于指定负责处理发往收件人域名的邮件服务器。 MX记录允许设置一个优先级，当多个邮件服务器可用时，会根据该值决定投递邮件的服务器。 简单邮件传输协议（SMTP）会根据MX记录的值来决定邮件的路由过程。

查询这个域名看看

在ThrearMiner上看到了相关信息

在页面中看到捕捉到的很多恶意软件样本都与这个域名有关

在dns query后会有response，其中带有ip

我们可以看看数据包中是否有该ip相关的流量

可以看到是一些尝试连接到该服务器的syn包，目的端口分别是25，465，587