2015年8月31日
PCAP of the traffic: 2015-08-31-traffic-analysis-exercise.pcap 8.35 MB (8,350,244 bytes)。下载地址:http://pan.baidu.com/s/1dEaCKvf
场景分析:
windows主机192.168.137.239通过访问vitaminsthatrock.com,遭遇teslaCrypt恶意勒索软件入侵。
分析线索:
首先,下载抓取的报文,用Wireshark打开,筛选http.request。你很快就会看到如下图所示不正常的的HTTP GET请求。如下图:
第一个HTTP GET请求是登录EK页面。按照TCP流,因此你可以查看到HTTP头,会发现referer:vitaminsthatrock.com。如下图中注明的,通过referer发现从哪个网站链接过来的,如下图:
继续分析tcp流。我们发现,该HTML的reply是gzip-compressed,如下图:
(Content-Encoding是HTTP协议的响应报文头, gzip:一种格式,也是对deflate进行的封装。)
可以通过多种方法提取原始数据报文中的gzip-compressed HTML。
下面使用wireshark工具来演示具体方法。步骤:File –> Export Objects –> HTML 如下图所示:
下面序号为10719的文件,就是刚才提取的文件(底色为蓝色),如下图:
保存导出的文件,在文本编辑器中打开它,并搜索EK domain。看如下图所示292位置:
接下来试着上传pcap报文到VirusTotal网站(一个提供免费的可疑文件分析服务的网站)。文件分析后,我们发现Snort(开源入侵检测系统)和Suricata显示报警信息,如下图:
不幸的是,告警信息不能确定exploit kit工具包。Snort的告警事件显示了Sweet Orange EK,但Sweet Orange EK之前就消失了,所以这是一个不同的EK,如下图。
进一步分析,请看下篇《流量安全分析(三):teslaCrypt恶意勒索软件入侵(2)》。