原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2016-03-28-traffic-analysis.pcap
首先,通过以下条件过滤http.request and ip add eq 62.75.195.236:
接下来通过以下条件过滤http.request and !(ip.addr eq 62.75.195.236):
通过Snort2.9.7.2工具阅读PCAP报文和Talos (VRT)签名集,会发现下面的告警信息:
通过Security Onion回放PACP数据报文,并且使用Emerging Threats和ETPRO规则集,会发现以下几点:
从安全洋葱Sguil RealTimeEvents选项卡截图:如上图所示。
如上图所示:Sguil告警所有的在升级,所以可以看到个人的事件。
该EK漏洞套件可以发送多个有效载荷,在这个PCAP报文中只发现一个。从PCAP数据报文中导出有效载荷,方法:File –> Export Object –> HTTP ,如下图:
下图所示恶意有效载荷为 221,184 bytes,,服务器发送虚假标签的text / html 通过HTTP响应报头:
继续分析下面TCP流,我们会看到这是一个基于Windows的可执行文件,如下图:
通过windows主机执行这个文件,确认是恶意攻击程序:
