通过该实验了解恶意流量取证分析方法,主要涉及torrent流量的知识,包括tracer,bittorrent,Deluge等。
背景:
你收到网络上10.0.0.201的bittorrent流量警报。 Torrent流量通常与受版权保护的内容的文件共享相关联;当然,也有一些torrent流量是合法的。
我们需要分析分析这个数据包,解答下列问题:
10.0.0.201的mac地址是多少
10.0.0.201的host name是什么
10.0.0.201的user account name是什么
10.0.0.201的系统版本
10.0.0.201de torrent活动发生的时间
10.0.0.201下载了什么torrent文件
10.0.0.201使用了那个torrent客户端
10.0.0.201上的torrent客户端分享了哪个文件(做种)?
首先还是过滤出nbns的流量,来获取hostname
当然,也可以使用dhcp
接下来要找到user account name,自然是通过kerberos协议
kerberos.CNameString中CNameString代表windows的host name和user account name,那么怎么区分这两个呢?
我们先把它过滤出来再看
按照上图的方式依次展开,然后就能看到CNameString的值,右键,将其应用为列
可以看多了一列
其中以$结尾的是host name ,没有以$结尾的是user account name
接下来要确定windows的版本号
最简单也是最常用的方法就是通过user agent来判断
我们过滤出相应的流量
选中第一条,右键跟踪tcp流
将user agent复制出来,在这里进行解析
https://developers.whatismybrowser.com/useragents/parse/#parse-useragent
从结果中可以看到这是64位的win10
。
给我们的背景是说有torrent 流量,需要我们分析出发生的时间
我们使用bittorrent过滤
从上图可以看到发生的时间
我们知道文件扩展名为.torrent的文件包含引导torrent客户端使用bittorrent协议检索文件的信息。那么10.0.0.201下载了什么.torrent文件呢?我们可以在url里过滤出对应的字符串
可以看到只有一条对应的流量
跟踪tcp流
可以看到文件名为Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
那么其他的torrent流量呢?torrent流量还会涉及其他关键字,比如announce,scrape等
同样过滤出来
从host一列可以看出流量是指向publicdomaintorrents.com和torrent.ubuntu.com域的
选中第一条跟踪tcp流
在user agent中看到Deluge 1.3.15
Deluge是什么?
可以知道它是一个torrent客户端
那么抓到的流量究竟在tracking什么东西ine?
我们可以根据info_hash值来判断
在http get请求中,我们可以看到info_hash和peer_id
这里的值是编码过的,我们将其解码
可以使用这个网站https://www.asciitohex.com/
将其输入
点击convert
得到其16进制
然后进行搜索
可以看到是一个ubuntu 18.04的iso文件,文件名为ubuntu-18.04-desktop-and64.iso
针对其他的流量也使用同样的方法
选中之前过滤出的第二条,跟踪tcp流
解码后16进制如下
搜索
可以看到是一个avi格式的文件
我们看看直接使用info_hash进行过滤会不会找到其他的torrent文件
将sha1 hash这一行选中-》右键-》copy->…as a hex stream
然后搜索,发现还是ubuntu那个镜像文件
要快速查看其他的,可以将这一行应用为列,然后布局如下图所示
然后进行分析。
至此,我们已经解答了所有的问题
答案如下:
IP地址: 10.0.0.201
MAC地址:00:16:17:18:66:c8 (Msi_18:66:c8)
Host name: BLANCO-DESKTOP
Windows user account name: elmer.blanco
系统版本: Windows 10
torrenrt活动开始时间: S2018-07-15 at 04:17 UTC
10.0.0.201下载的Torrent 文件:
Betty_Boop_Rhythm_on_the_Reservation.avi.torrent
Torrent客户端: Deluge version 1.3.15
被做种(共享)的文件: ubuntu-18.04-desktop-amd64.iso (SHA1 info hash
e4be9e4db876e3e3179778b03e906297be5c8dbe)
。
来源:CSDN
作者:Neil-Yale
链接:https://blog.csdn.net/yalecaltech/article/details/104179052