恶意流量分析训练八

通过该实验通过分析多个eml文件，并根据附件文件进行分析，结合在线分析引擎给出的流量特征结合比对掌握分析技术，本次训练还涉及到邮件钓鱼、邮件伪造、js恶意脚本等知识点。

 

给出使用给出了大量邮件附件，请分析判断哪封邮件感染了Marcus的电脑，哪封邮件感染了Marion的电脑

先来看MARCUS的

先使用http.request过滤

可以看到主要有两个可疑的地方：

185.165.29.36—GET /trolls.jpg

myexternalip.com—GET /raw

先看第一个疑点，跟踪其tcp流

 

可以看到http头部没有user-agent,而一般正常的http流量都是应该要有的。第二点在上图红圈可以看出这是一个可执行文件而不是conten-type指出的图像文件。这种行为是一些恶意软件典型的行为—从某个服务器下载一个可执行恩建然后在受害者的主机上执行

 

 

第二个疑点是因为这个网站是用于查询ip的

而且跟踪tcp流

 

发现同样没有user-agent,也是不正常的

 

 

接下来看看其他的，比如看有没有异常的tcp连接，可以先过滤出tcp syn包

可以看到在前面找到的异常流量之间，我们发现了443，9001端口的流量，我们知道https常会走443，tor常会走9001，也就是说，这两个端口的流量可能是https/ssl/tls加密过的

我们将https server name应用为列然后使用ssl.handshake.extensions_server_name作为过滤条件

可以看到一些奇怪的server name

将这个数据包上传到virustotal分析，看到suricata的结果

可以看到也是提示有tor ssl流量,和网络木马等。

 

 

 

接下来分析marion数据包

同样还是先过滤出http.request

看到了一些可疑的地方

.top域名就很可以，搜索引引擎可以看到

 

这个域名与Cerber有关

将其上传到virustoal看看分析结果

 

可以看到有针对Cerber,Kovter以及其他恶意软件比如JS或WSF下载器等的告警日志

所以我们推测GET /countet?*的流量是JS/WSF文件下载器的链接

而那个top域名是Cerber勒索软件使用的

 

 

 

 

接下来我们分析给出的邮件

先看2304-UTC.eml

使用thunderbirtd打开后如图所示

有个深蓝色的按钮，点击后会访问如图

链接为

http://www.hlygsun.com/tmp/mercadopago/Ativacao_06042017/?ativacao=73566.pdf

不过这个链接在数据包中没有，所以这个邮件应该与此次感染行动无关

接下来看看1439-UTC.eml

如图所示

从内容来看，这是一封FexEX的邮件，让我们打开附件看看快递清单的细节，不过从发件人的邮箱来看，这可能是伪造的邮件

我们保存附件

解压后得到一个js脚本

使用文本编辑器打开

 

在上图中看到很多域名

我们猜测这个js脚本可能会通过这些域名来下载恶意软件

当然，我们也可以通过其hash去搜索引擎看看

在reverse.it看到其通信特征

 

这与marion的特征很像

 

 

接下来看看1230-UTC.eml

又是一封模仿快递公司的邮件，也是查看附件

解压后得到js文件

使用文本编辑器打开

可以看到也有用于通信的域名

同样根据hash在搜索引擎查找

在reverse.it分析出的http流量中看到与marion的也很相似，相比于上一封邮件，这次的js文件的流量的目的ip与marion数据包中的都是相同的，所以我们推测正是这封邮件使得marion的电脑受到感染

接下来看0101-UTC.eml

邮件中有个超链接，点击后会打开

链接为：

https://cl.ly/412v3b1b2f3i?80511692008355950526752

而marcus的数据包中没有指向cl.ly的url的流量，所以不是这封邮件

 

再看看0842-UTC.eml

也是同样的伪造快递公司的邮件，附件解压后也是js文件，通过reverse.it分析发现流量特征与marcus的不符合，故排除

 

看看1652-UTC.eml

 

附件是pdf文件

保存后打开

点击后会重定向到

访问时已经404了

所以这封邮件的调查先到这

 

再看看1830-UTC.eml

也是同样的伪造快递公司的邮件，附件解压后也是js文件，通过reverse.it分析发现流量特征与marcus的不符合，故排除

 

 

看看2155-UTC.eml

 

从内容来看是一封求职者的信，附件是简历，为word格式，可以推测，如果是恶意word的话，可能会通过office宏等方式进行攻击

我们保存后计算hash

搜索引擎查找

可以在revese.it中看到其通信特征

这与marcus数据包中/trolls.jpg那条流量的ip完全相同，所以可以确定该邮件导致marcus电脑受到感染。

 

 

综上所述，答案如下：

下面的邮件感染了Marcus's 电脑

Date: 2017-04-17 at 21:55 UTC


From: "see shenandoah memorial hospital" <[email protected]>

To: [email protected]


主题: Hi


附件: see shenandoah memorial hospital.doc

 

下面的邮件感染Marion's 电脑:

Date: 2017-04-08 at 12:20 UTC


From: [email protected]

To: [email protected]

主题: Package Delivery Notification

附件: FedEx-Parcel-ID-S0JM7T30.zip