恶意流量分析训练十一

陌路散爱 提交于 2020-02-05 11:38:18

通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。

 

 

背景:

你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。

我们需要分析分析这个数据包,解答下列问题:

10.0.0.201的mac地址是多少

10.0.0.201的host name是什么

10.0.0.201的user  account name是什么

10.0.0.201的系统版本

10.0.0.201de torrent活动发生的时间

10.0.0.201下载了什么torrent文件

10.0.0.201使用了那个torrent客户端

10.0.0.201上的torrent客户端分享了哪个文件(做种)?

 

首先还是过滤出nbns的流量,来获取hostname

当然,也可以使用dhcp

接下来要找到user account name,自然是通过kerberos协议

kerberos.CNameString中CNameString代表windows的host name和user account name,那么怎么区分这两个呢?

我们先把它过滤出来再看

按照上图的方式依次展开,然后就能看到CNameString的值,右键,将其应用为列

可以看多了一列

其中以$结尾的是host name ,没有以$结尾的是user account name

 

接下来要确定windows的版本号

最简单也是最常用的方法就是通过user agent来判断

我们过滤出相应的流量

选中第一条,右键跟踪tcp流

将user agent复制出来,在这里进行解析

https://developers.whatismybrowser.com/useragents/parse/#parse-useragent

从结果中可以看到这是64位的win10

 

 

给我们的背景是说有torrent 流量,需要我们分析出发生的时间

我们使用bittorrent过滤

从上图可以看到发生的时间

 

 

我们知道文件扩展名为.torrent的文件包含引导torrent客户端使用bittorrent协议检索文件的信息。那么10.0.0.201下载了什么.torrent文件呢?我们可以在url里过滤出对应的字符串

可以看到只有一条对应的流量

跟踪tcp流

可以看到文件名为Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

那么其他的torrent流量呢?torrent流量还会涉及其他关键字,比如announce,scrape等

同样过滤出来

从host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的

选中第一条跟踪tcp流

在user agent中看到Deluge 1.3.15

 

 

 

Deluge是什么?

可以知道它是一个torrent客户端

那么抓到的流量究竟在tracking什么东西ine?

我们可以根据info_hash值来判断

在http get请求中,我们可以看到info_hash和peer_id

这里的值是编码过的,我们将其解码

可以使用这个网站https://www.asciitohex.com/

将其输入

点击convert

得到其16进制

然后进行搜索

可以看到是一个ubuntu 18.04的iso文件,文件名为ubuntu-18.04-desktop-and64.iso

针对其他的流量也使用同样的方法

选中之前过滤出的第二条,跟踪tcp流

解码后16进制如下

搜索

可以看到是一个avi格式的文件

 

 

我们看看直接使用info_hash进行过滤会不会找到其他的torrent文件

将sha1 hash这一行选中-》右键-》copy->…as a hex stream

然后搜索,发现还是ubuntu那个镜像文件

要快速查看其他的,可以将这一行应用为列,然后布局如下图所示

然后进行分析。

至此,我们已经解答了所有的问题

答案如下:

IP地址: 10.0.0.201

MAC地址:00:16:17:18:66:c8 (Msi_18:66:c8)

Host name: BLANCO-DESKTOP

Windows user account name: elmer.blanco

系统版本: Windows 10

torrenrt活动开始时间: S2018-07-15 at 04:17 UTC

10.0.0.201下载的Torrent 文件:

Betty_Boop_Rhythm_on_the_Reservation.avi.torrent

Torrent客户端: Deluge version 1.3.15

被做种(共享)的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash

e4be9e4db876e3e3179778b03e906297be5c8dbe)

 

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!