TRAFFIC ANALYSIS EXERCISE - PIZZA-BENDER
2020-08-21 - TRAFFIC ANALYSIS EXERCISE - PIZZA-BENDER
学习记录
HTTP流
首先查看HTTP流
追踪第一条流,可以看到传输的是一个DLL可执行程序
通过virustotal查询访问域名ncznw6a.com,发现该域名存在恶意行为
随后请求域名ctldl.windowsupdate.com,IP为8.252.146.254,均返回304。
加密流
通过查看TLS流,发现除了知名的域名,存在其他域名
如
恶意软件
后续是否可以通过软件分析?
可疑地址
| HOST | IP |
|---|---|
| ldrbravo.case | 45.147.231.132 |
| sieseetera.club | 89.44.9.186 |
| ciliabba.cyou | 89.44.9.186 |
| ubbifeder.cyou | 89.44.9.186 |
知识
LDAP协议
LDAP(轻量级目录访问协议,Lightweight Directory Access Protocol)是一种用于在网络上访问和维护目录服务的协议。目录服务是一种存储和组织信息的分层数据库,通常用于存储用户、组织、设备等信息,并提供快速和有效的检索功能。
KRB5
KRB5 是 Kerberos 5 的缩写,是一种用于网络身份验证的协议。Kerberos 是一种计算机网络身份验证协议,旨在提供强大的身份验证机制,确保只有合法用户能够访问网络资源。
SAMR
SAMR(Security Accounts Manager Remote Protocol)是一种用于远程管理 Windows 操作系统用户和组的协议。它允许远程客户端应用程序通过网络与 Windows 系统上的安全账户管理器(SAM)进行通信,从而实现对用户账户、组账户和域账户等的管理操作。
SMB2
SMB2(Server Message Block version 2)是一种用于在计算机网络上共享文件、打印机、串口及其他资源的协议。它是 SMB(Server Message Block)协议的更新版本,旨在提供更快、更安全和更可靠的文件共享服务。