神刀安全网

流量安全分析(七):如何分析一个攻击数据报文?

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2016-03-28-traffic-analysis.pcap

首先,通过以下条件过滤http.request and ip add eq 62.75.195.236:

流量安全分析(七):如何分析一个攻击数据报文?

接下来通过以下条件过滤http.request and !(ip.addr eq 62.75.195.236):

流量安全分析(七):如何分析一个攻击数据报文?

通过Snort2.9.7.2工具阅读PCAP报文和 Talos (VRT)签名集,会发现下面的告警信息:

流量安全分析(七):如何分析一个攻击数据报文?

通过 Security Onion 回放 PACP 数据报文,并且使用 Emerging Threats

ETPRO

规则集,会发现以下几点:

流量安全分析(七):如何分析一个攻击数据报文?

从安全洋葱 Sguil RealTimeEvents 选项卡截图:如上图所示。

流量安全分析(七):如何分析一个攻击数据报文?

如上图所示: Sguil 告警所有的在升级,所以可以看到个人的事件。

该EK漏洞套件可以发送多个有效载荷,在这个PCAP报文中只发现一个。从PCAP数据报文中导出有效载荷,方法: File –> Export Object –> HTTP ,如下图:

流量安全分析(七):如何分析一个攻击数据报文?

下图所示恶意有效载荷为 221,184 bytes ,,服务器发送虚假标签的 text / html 通过 HTTP 响应报头:

流量安全分析(七):如何分析一个攻击数据报文?

继续分析下面 TCP 流,我们会看到这是一个基于 Windows 的可执行文件,如下图:

流量安全分析(七):如何分析一个攻击数据报文?

通过 windows 主机执行这个文件,确认是恶意攻击程序:

流量安全分析(七):如何分析一个攻击数据报文?

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 流量安全分析(七):如何分析一个攻击数据报文?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮