参考内容:
网址 | hxxp://194.55.224[.]9/liuz/5/fre.php |
描述 | Loki Bot C2 网址早在 2023-08-15 就被注意到了 |
2023-07-27 记录的 IcedID C2 域: |
|
网址 | 87.121.221[.]212:7888 - tcp://adaisreal.ddns[.]net:7888/ |
描述 | Ave Maria RAT (Warzone RAT) 的 C2 早在 2023-06-05 就被注意到了 |
SHA256 哈希 | adfa401cdfaac06df0e529bc9d54b74cea9a28d4266a49edafa5b8e04e3b3594 |
文件大小 | 604,672 字节 |
文件名 | 未知 |
文件说明 | Windows 可执行文件 (EXE),使用 FTP 进行数据泄露的信息窃取程序 |
网址 | 190.107.177[.]239:21 - fxp://valvulasthermovalve[.]CL/ |
描述 | 早在 2023-06-07 就注意到,合法站点上的 FTP 服务器用于数据泄露,也被上述恶意软件样本使用 |
SHA256 哈希 | f24259e65a935722c36ab36f6e4429a1d0f04c0ac3600e4286cc717acc5b03d7 |
文件大小 | 134,140 字节 |
文件名 | 产品详情-3922941.one |
文件说明 | OneNote 文件作为附件在未加密的垃圾邮件机器人电子邮件中 Emotet 于 2023-03-16 |
Wireshark Tutorial: Display Filter Expressions (paloaltonetworks.com)
过滤器三态:
红色表示语法不合法
黄色表示合法语句但无法执行(3版本)
但是4版本会表绿并搜索http
绿色表示正确语法有结果
布尔表达式
布尔运算符 | 表达 | 替代表达式 |
等于 | == | eq |
不 | ! | not |
和 | && | and |
或 | || | or |
过滤流量
HTTP 请求:http.request
ssdp:ssdp
简单服务发现协议,此协议为网络客户提供一种无需任何配置、管理和维护网络设备服务的机制。此协议采用基于通知和发现路由的多播发现方式实现。协议客户端在保留的多播地址
练习1-5
统计一下
可疑文件fre.php
过滤http,https除去ssdp
(http.request or tls.handshake.type eq 1) and !(ssdp)
发现请求指向 URL http://194.55.224[.]9/liuz/five/fre.php
报告即可
练习2-5
作者说是标准变体 IcedID (Bokbot)
一样过滤
http.request or tls.handshake.type eq 1
发现
根据
Fork in the Ice:IcedID 恶意软件分析 |美国证明点 (proofpoint.com)
发现这些域名都是相关域名
报告即可
创建筛选器按钮以简化过滤
过程如图所示
创建过后会在最后生成快捷键使用时点击即可
过滤非 Web 流量
练习3-5
作者说是Ave Maria RAT(也称为 Warzone RAT)的远程访问工具 (RAT) 恶意软件生成的感染后流量
过滤非网络流量
(http.request or tls.handshake.type eq 1 or (tcp.flags.syn eq 1 and tcp.flags.ack eq 0) or dns) and !(ssdp)找到特征Ave Maria(恶意软件家族) (fraunhofer.de)
报告
过滤 FTP 流量
练习4-5
筛选表达式 | 描述 |
ftp | 控制通道中的 FTP 活动(TCP 端口 21) |
ftp-data | 数据通道中的 FTP 活动(临时 TCP 端口) |
筛选ftp流
ftp.request.command or (ftp-data and tcp.seq eq 1)
发现用户 密码 和 发送html到服务器的STOR命令
追踪tcp流
发现命令过程
报告
电子邮件流量
练习5-5
作者说:Spambot 恶意软件可以将受感染的主机变成旨在不断发送电子邮件的垃圾邮件机器人。
所以会有大量的smtp文件,过滤一下
smtp or dns
继续过滤 smtp
smtp.req.command
发现10.3.16.101对多个服务器上的ip发送了请求,但是部分加密了
继续过滤非加密请求
smtp.data.fragment
追踪tcp流发现垃圾邮件
上报
