PCAP AND INFO FOR AN ISC DIARY
2020-08-04 - PCAP AND INFO FOR AN ISC DIARY
学习记录
HTTP流
首先查看http流,并追踪第一条流
发现其传输的是一个可执行程序
查询请求的域名,发现其为恶意地址
导出该文件(注意:请勿在个人电脑中导出,请在虚拟机中导出)
该图片打不开
使用二进制分析攻击binwalk进行分析:
0x0: 这是一个Microsoft可执行文件,采用了可移植执行格式(PE)。
0x457F5: 这是一个bix头部,具有一些元数据信息,包括创建时间、数据地址、入口点等。其OS标记为4.4BSD,名称为”lXD”。
0x56639: 这也是一个bix头部,但这个文件看起来像是固件映像(Firmware Image)。
0x6F484: 这是一个Base64标准索引表。
0x73C70 和 0x73C9F: 这是HTML文档的头部和尾部。
0x74160 和 0x7418F: 这是另一个HTML文档的头部和尾部。
0xC3EE0 和 0xC3F09: 这是一个PNG图像和相应的Zlib压缩数据。
使用foremost分离该文件,得到exe文件和png图片
查看exe文件的md5值,并通过virustotal查询
加密流
无可疑流
线索梳理
- 恶意网站:
aromaterapiaclinicabrasil.com.br - 恶意文件:
87411326.jpg - 感染过程:受害者主机
10.8.4.101访问恶意网站aromaterapiaclinicabrasil.com.br后,下载图片形式的恶意文件87411326.jpg,该文件本质是一个exe文件,用excel的图标进行伪装,欺骗用户点击从而感染
知识
IGMPv3
IGMPv3(Internet Group Management Protocol version 3)是一种用于在IPv4网络中管理组成员关系的协议。它是IGMP协议的升级版本,主要用于在多播环境下管理主机和路由器之间的通信。
NBNS
NBNS(NetBIOS Name Service)是NetBIOS的一部分,用于在局域网中将NetBIOS名(通常是计算机名)解析为IP地址。NetBIOS是一种早期的局域网通信协议,用于在局域网中提供命名、会话和数据共享服务。