流量安全分析(三):teslaCrypt恶意勒索软件入侵(1)

围观次数:1,072 views

2015年8月31日

PCAP of the traffic: 2015-08-31-traffic-analysis-exercise.pcap  8.35 MB (8,350,244 bytes)。下载地址:http://pan.baidu.com/s/1dEaCKvf

场景分析:

windows主机192.168.137.239通过访问vitaminsthatrock.com,遭遇teslaCrypt恶意勒索软件入侵。

分析线索:

首先,下载抓取的报文,用Wireshark打开,筛选http.request。你很快就会看到如下图所示不正常的的HTTP GET请求。如下图:

1

第一个HTTP GET请求是登录EK页面。按照TCP流,因此你可以查看到HTTP头,会发现referer:vitaminsthatrock.com。如下图中注明的,通过referer发现从哪个网站链接过来的,如下图:

2

继续分析tcp流。我们发现,该HTML的reply是gzip-compressed,如下图:

(Content-Encoding是HTTP协议的响应报文头, gzip:一种格式,也是对deflate进行的封装。)

3

可以通过多种方法提取原始数据报文中的gzip-compressed HTML。

下面使用wireshark工具来演示具体方法。步骤:File –> Export Objects –> HTML 如下图所示:

4

下面序号为10719的文件,就是刚才提取的文件(底色为蓝色),如下图:

5

保存导出的文件,在文本编辑器中打开它,并搜索EK domain。看如下图所示292位置:

6

接下来试着上传pcap报文到VirusTotal网站(一个提供免费的可疑文件分析服务的网站)。文件分析后,我们发现Snort(开源入侵检测系统)和Suricata显示报警信息,如下图:

7

不幸的是,告警信息不能确定exploit kit工具包。Snort的告警事件显示了Sweet Orange EK,但Sweet Orange EK之前就消失了,所以这是一个不同的EK,如下图。

8

进一步分析,请看下篇《流量安全分析(三):teslaCrypt恶意勒索软件入侵(2)》。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助