0507一日一恶意代码流量分析

题目下载

• 1.分析：

对whatismyipaddress.com的HTTP请求不一定是由恶意软件引起；ftp到files.000webhost.com的通信可能是某人更新由000webhost托管的合法网站。在这种情况下，Hawkeye键盘记录器使用ftp存储登录凭证，将受感染桌面的键盘记录数据和屏幕截图记录到托管的服务器上通过000webhost。

• 2.使用filter看到帐户名、密码和存储到服务器的文件：

ftp.request.command eq USER or ftp.request.command eq PASS or ftp.request.command eq STOR

• 3.使用filter   

 ftp-data

 

• 4.点击第一项，右键follow the TCP stream

• 5.点击第一项含图片文件，右键follow the TCP stream

 

更改时间显示格式为UTC

查看>“时间显示格式”

“从捕获开始后的秒”更改为“UTC日期和时间日”。

分辨率从“自动”更改为“秒”。

由于版本的问题无法添加列：

只好单条查看。

Executive summary:

On 2019-05-02 at  16:42 UTC, a Windows host used by Adriana Breaux was infected with a Hawkeye keylogger

Details of the infected Windows host:

IP address: 10.0.0.227
MAC address: 84:8f:69:09:86:c0
Host name: BREAUX-WIN7-PC
Windows user account name: adriana.breaux

Indicators of Compromise:

104.16.154.36 port 80 - whatismyipaddress.com - GET /

154.14.145.4 port 21 - files.000webhost.com - FTP control channel

154.14.144.10 port 21 - files.000webhost.com - FTP control channel

154.14.145.99 port 21 - files.000webhost.com - FTP control channel

154.14.145.4 port 37280 - files.000webhost.com - FTP data channel

154.14.144.10 port 40651 - files.000webhost.com - FTP data channel

154.14.144.10 port 47434 - files.000webhost.com - FTP data channel

154.14.145.99 port 36091 - files.000webhost.com - FTP data channel

154.14.145.99 port 35396 - files.000webhost.com - FTP data channel

[List of URLs, domains, IP addresses, and SHA256 hashes related to the infection should appear in this section]