流量安全分析(七):如何分析一个攻击数据报文?

围观次数:1,716 views

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2016-03-28-traffic-analysis.pcap

首先,通过以下条件过滤http.request and ip add eq 62.75.195.236

1

 接下来通过以下条件过滤http.request and !(ip.addr eq 62.75.195.236)

2
   通过Snort2.9.7.2工具阅读PCAP报文和Talos (VRT)签名集,会发现下面的告警信息:

3
   通过Security Onion回放PACP数据报文,并且使用Emerging ThreatsETPRO规则集,会发现以下几点:

4
从安全洋葱Sguil RealTimeEvents选项卡截图:如上图所示。

5

如上图所示:Sguil告警所有的在升级,所以可以看到个人的事件。

EK漏洞套件可以发送多个有效载荷,在这个PCAP报文中只发现一个。从PCAP数据报文中导出有效载荷,方法:File –> Export Object –> HTTP ,如下图:

6

下图所示恶意有效载荷为 221,184 bytes,,服务器发送虚假标签的text / html 通过HTTP响应报头:

7

继续分析下面TCP流,我们会看到这是一个基于Windows的可执行文件,如下图:

8

通过windows主机执行这个文件,确认是恶意攻击程序:

9

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助