通过该实验学会分析eml文件并从中提取出附件进行分析,包括根据生成的hash进行搜索等,掌握wireshark的关键过滤语法包括过滤tcp syn包、过滤重传包、过滤dns query包等,有意识培养取证分析的思维和思路。
根据本次实验所给材料,请分别给出从两个数据包分析出的细节,包括:
机器的host name,ip,mac地址
相关的邮件的信息
邮件附件的信息
本次给出了eml文件,eML文件是将邮件归档后生成的文件,保留着原来的HTML格式和标题
所需只需专门的客户顿用于查看,推荐使用thunderbird
使用如下命令安装即可
给出了两个eml文件
选中1814这个,右键-》使用其他应用打开,然后选择thunderbird
点击select即选中打开
打开后界面如下所示
可以看到下方有一个附件
可以将其保存
得到一个压缩文件
将其解压
得到一个exe可执行文件
计算这个文件的sha256 hash
这里有个常识一定要注意:
在分析恶意文件时千万不要把恶意软件提交到virustotal等其他在线分析网站上,而是使用该文件的hash去搜索。因为如果我们在应急响应或者在其他作为防御方的情况下,如果我们提交的是恶意软件,恶意软件的制作者可以从virustotal等网站上知道某人提交了该软件,也就是说攻击者就会知道自己的攻击行为已经暴露了,这样在后续过程中可能就会改变攻击策略。所以我们应该通过hash来查找是否有相应资料。
查找前面得出的hash
可以看到该文件已经被提交到virus total,hybrid analysis等网站了
我们进入reverse.it看看该网站在其沙箱中分析出来的结果
这里可以看到其通信流量,包括dns,http等
我们看看http的
与我们在第一个数据包中看到的很类似
再往后面看我们可以看到suricata的告警日志
可以看到是ET TROJAN Formbook 0.3 Checkin
这与我们直接将数据包上传到packet total的结果是一样的
接下来看看第二个eml文件
还是同样的方法得到附件文件
从这个压缩文件中提取出的是一个word
计算hash
搜索引擎查找
可以看到又是恶意文件
这次还是使用reverse.it分析引擎打开
不过我们注意到这次没有流量特征,这可能是因为恶意软件自身的保护措施—比如发现自己身处虚拟机环境或者沙箱等,就停止运行或者是和正常软件一样的运行,不会表现出恶意行为,可能我们这次分析的软件就有这种保护机制。
直接将数据包上传到virustotal看看
可以看到snort和suircata都有告警
分析完两个eml文件,我们开始分析数据包
先看第一个
我们已经知道恶意软件的类型及其来源,接下来我们需要从数据包中拿到主机的信息
一打开就是大量的nbns流量
在数据包中过滤出http请求流量可以看到
和我们前面在reverse.it中看到的特征非常相似
数据包中还有值得研究的地方吗
记不记得前面我们分析过的例子,总会有一种流量—当服务端停止响应时,受害主机(客户端)会继续发送TCP SYN包希望三次握手建立连接,我们看看现在这个数据包中有没有这种流量
我们会用到以下的语法:
tcp.flags eq 0x0002 用于过滤tcp syn包
tcp.analysis.retransmission 用于过滤retranmitted重传包
dns.qry.name 用于过滤dns query流量(因为访问制定的域名前都需要通过dns解析)
将其组合起来,过滤语句就是
tcp.flags eq 0x0002 and tcp.analysis.retransmission表示tcp syn的重传包
然后使用or拼接 dsn.query.name
即:
(tcp.flags eq 0x0002 and tcp.analysis.retransmission) or dns.qry.name
从流量中可以看到10.1.1.97先是去查询www.yunshangcms.com的ip,得到为47.93.157.247,接着去访问该ip
继续往下看,同样可以看到
10.1.1.97查询www.heapto.com,得到其ip为64.32.26.89然后尝试进行访问
第一个数据包分析得出不多了,接下来看看第二个
直接打开就可以通过nbns得到主机信息
接下来过滤出http请求
可以看到有大量的不正常的指向108.61.179.223的流量,选中一条跟踪tcp流
这看起来是url编码,我们将其解码后看看有什么内容
可以看到有主机信息、用户信息、硬件信息等
再看看其他流量,比如https的,语法是ssl.handshake.type eq 1
加上上一个数据包使用的syn重传和dns查询的流量,最后的过滤语句是
http.request or tcp.flags eq 0x0002 or ssl.handshake.type == 1 or dns.qry.name
上图中我圈出了几个可疑的地方:
- 有dns查询forum.crytopia.gdn的流量并随后进行了访问,这是个加密论坛,其他更有用的消息搜索引擎没找到
- 看到了前面我们分析出的url编码的敏感信息的流量指向了108.61.179.223
- 看到了5938端口,这是teamviewer使用的,但是可以看到目的ip不止一个
Teamviewer本身是用于远程桌面访问的正常软件,所以我们推测攻击者可能将恶意软件与其一起重新打包,这样就可以感染和控制受害者的机器了,也就能解释为什么会产生上述的可疑流量。
前面我们从邮件附件中提取的是一个恶意word文件,而这种流量应该是由可执行二进制文件产生的,那么这个文件是嵌入到word去了?还是通过网络下载的,比如https?forum.cryptopia.gdn很可疑。
我们重新回到前面根据word的hash搜索到的reverse.it的分析页面
可疑看到这段代码像是office的宏代码,其中有forum.cryptopia.gdn/sys.exe,也就是说会从其中下载恶意的二进制文件进行进一步的感染。所以我们推测这个word有一个嵌入的vbs文件,当用户点击后就自动下载恶意可执行文件然后就被感染,所以产生了这些异常流量。
综上所述,可以得到答案:
第一个数据包:
host name:Chris-Lyons-PC
host ip addresss:10.1.1.97
mac address:00:222:15:d4:7a:e7
邮件信息:
日期:Thursday 2017-12-14,18:14 utc
FROM:Le Huong-accounts
主题:Fe:Re:PI no. SO-P101092262891
附件名:Proforma Invoice P101092292891 TT slip pdf.rar.zip
相关恶意文件:
SHA256 hash: 435bfc4c3a3c887fd39c058e8c11863d5dd1f05e0c7a86e232c93d0e979fdb28
File 大小: 228,458 bytes
File 名称: Proforma Invoice P101092292891 TT slip pdf.rar.zip
File 描述: Zip archive attached to the malspam
SHA256 hash: 9a9d7a41c404b9044a82727996d53222d996f03d71e4839245dbeeaf4c685f77
File 大小: 471,040 bytes
File 名称: Proforma Invoice P101092292891 TT slip pdf.rar.exe
File 描述: Extracted executable from the above zip archive
第二个数据包:
host name:Drrenell-PC
ip address:10.1.1.213
mac address:00:08:7c:39:da:12
邮件信息:
日期:Thursday 2017-12-14 at 21:34 UTC
FROM:Black Friday Shopping Voucher
主题:Woosters Almost Sold Out! Black Friday Prices + Free Shipping For A Few
More Hours!
附件:Black Friday.zip
相关恶意文件:
SHA256 hash: 5fd4b1ef7a3069c8ae76b83f220e0beff5b2b7f939357656f4b198ed02cd850c
File 大小: 36,018 bytes
File名称: Black Friday.zip
File 描述: Zip archive attached to the malspam
SHA256 hash: a7447db99ba60c2f7bfd9e9bcfadfb05a4fc0ea214450b76ea85d386db1f727b
File大小: 40,596 bytes
File 名称: Black Friday.docx
File 描述: Extracted Word document from the above zip archive