Veröffentlicht am 04-05-2019

Stingrayahoy - Übungsanalyse der Verkehrsanalyse

04. Mai 2019

https://www.malware-traffic-analysis.net/2019/04/15/index.html

Nachdem ich eine der Übungen zur Verkehrsanalyse nicht gemacht hatte, fühlte es sich großartig an, wieder nach Wireshark zu kommen und durch die Pakete zu graben. Ich wollte dieses Mal etwas anderes ausprobieren, um auch einige Skriptermuskeln spielen zu können. Ich habe die meisten meiner Analysen mit Jupyter Notebook und dem Scapy-Projekt von Python durchgeführt.

Den zur Lösung der Übungsfragen verwendeten Code finden Sie unter https://github.com/msec1203/shared-code/blob/master/mal_traff_analysis_APR.ipynb

Die Herausforderung

In Verbindung mit einem PCAP, Verkehrsmeldungen und einigen grundlegenden Netzwerkinformationen wird es unsere Aufgabe sein, in einem Vorfallreaktionsbericht Folgendes zu beantworten:

  • Zusammenfassung der Ereignisse im Übungsverkehr
  • Der Hostname und das Konto des infizierten Windows-Computers
  • Die MAC-Adresse
  • Die IP-Adresse
  • Indikatoren des Kompromisses (IOC)

Analyse

Zuerst wollte ich mit dem Öffnen der PCAP in Wireshark beginnen, um zu sehen, ob etwas auffällt. Unmittelbar darauf wird eine Anzahl versuchter TCP-Verbindungen zwischen zwei Adressen angezeigt, für die möglicherweise weitere Untersuchungen erforderlich sind.

Abbildung 1

Die Informationen in Abbildung 1 sind interessant. Notieren Sie es für später, und machen wir weiter. * Anmerkung: Da ich immer noch Python lerne, musste ich bei einigen Antworten zwischen Wireshark und Jupyter hin und her springen, entschuldige mich, wenn etwas verwirrend ist.

Da es eine Reihe von Fragen gibt, die ich beantworten muss, beginne ich gerne mit dem Gießen von DNS-Verkehr. Dies ermöglicht es einem Analysten, eine Vorstellung von den abgefragten Domänen zu erhalten und herauszufinden, wer der infizierte Host sein kann.

Figur 2

Die obige Abbildung zeigt die Ausgabe eines einfachen Python- und Scapy-Skripts, das nach DNS-Ressourceneinträgen (Zuordnung von Namen zu IP-Adressen) sucht. Im Skript suchen wir nach einer Zusammenfassung der Pakete und der Antworten.

Da wir den Domänennamen für unseren DC kennen, können wir leicht feststellen, welcher Host in demselben Netzwerk (Seoul-4a67) sein sollte. Wenn wir einen Blick darauf werfen, gibt es auch eine Reihe von Antworten für einige verdächtige Domains: .xyz, .club, .top sowie Abfragen für resolver1 [.] Opendns [.] Com und myip.opendns [.] Com. Notieren Sie sich das oben und machen Sie weiter.

Als ich mit Scapy herumspielte, konnte ich eine sauberere Ausgabe finden, die dieselben DNS-Informationen enthielt.

Figur 3

Dadurch erhalten Sie nicht nur den Host, sondern auch die IP-Adresse und eine mögliche MAC-Adresse.

Nun, da wir den Hostnamen kennen, können wir den Namen des Benutzerkontos herausfinden. Da dies ein Windows-System ist, können wir darauf wetten, dass sich der Kontoname im Kerberos-Verkehr befindet, sofern vorhanden.

Figur 4

Mit allen oben gesammelten Informationen schauen wir uns mögliche HTTP / S-Anforderungen an. Wir werden das Jupyter-Notebook von hier an weiter verwenden.

Abbildung 5

In der obigen Ausgabe sehen wir unseren Benutzer für diese Übung. Kim.jooyoung war ziemlich beschäftigt. Das Skript liefert uns die Quelle, die unser identifizierter Benutzer war, sowie den Host und den Pfad der angeforderten Dateien. Einige Dateierweiterungen fallen auf: .fgs, .avi, .rar. und .cab.

Die seltenen Anfragen sind besonders interessant für den jüngsten WinRAR-Exploit, der sich im Internet durchsetzte. Diese angeforderten URLs geben uns auf jeden Fall etwas, um mit der Recherche zu beginnen.

Abbildung 6

Mithilfe der VirusTotal-API können wir nach positiven Antworten auf die oben gefundene URL suchen (leider habe ich kein Unternehmenskonto, daher sind meine Suchanfragen begrenzt). Wie vermutet, hatte die .fgs-Datei unter hxxp: // ljeffery54ae [.] Top eine Reihe von Positiven, die möglicherweise schädlich waren.

An diesem Punkt können wir die HTTP-Objekte aus Wireshark exportieren und in VirusTotal werfen oder die URL kopieren und einfügen.

Abbildung 7

Soweit uns VirusTotal mitteilt, kann die obige Site möglicherweise Ursnif von Gozi-Banking-Malware bedienen. Jetzt können wir die Alarme läuten, da sich herausgestellt hat, dass unser Host infiziert ist.

Zu guter Letzt wollte ich noch einmal Scapy verwenden, um die HTTP-Antworten anzuzeigen und zu sehen, ob wir die Antwort aus der obigen Malware herausziehen könnten.

Abbildung 8

Tatsächlich sehen wir am unteren Bildschirmrand "MZ Dieses Programm kann nicht im DOS-Modus ausgeführt werden". Dies mag eine schnelle Analyse gewesen sein, aber ich glaube, wir haben genug, um mit der Erstellung unseres Vorfallsberichts zu beginnen.

Vorfallreaktionsbericht

Zusammenfassung

Am 15. April 2019 um 1642 UTC am Montag wurde der Name des Windows-Host-Kontos: kim.joonyoung mit einer Ursnif-Malware-Variante infiziert. Außerdem wurde derselbe Host gemäß den bereitgestellten Warnmeldungen auch mit AZORult-Malware infiziert.

Details zum infizierten Windows-Host: IP-Adresse: 10.0.90.175MAC-Adresse: d0: 67: e5: b1: 53: Name der Host-Adresse: SEOUL-4A67-PCWindows-Benutzerkonto: kim.jooyoung

Indikatoren für Kompromisse

  • ljeffery54ae [.] oben (91.240 [.] 87.19: 80) - GET
  • 161 [.] 213.250.131: 80 - GET /azor[.rar. ** AZORult **

Verdächtiger Netzwerkverkehr / Domänen

  • DNS-Abfrage für myip-opendns [.] Com
  • DNS PTR-Abfrage für 208.67 [.] 222.22 (Resolver1 [.] Opendns.com
  • pompeiiii [.] org (208.91.197.91:443 - Zahlreiche fehlerhafte TCP-Verbindungen
  • ksoniay95ee [.] info (37.230.112.226:80) - GET /images/string[.mehravi
  • zindv [.] club (185.139.69.88:443 - HTTPS / SSL)
  • 151 [.] 106.27.208: 80 - GET /client[.rar
  • 185.136.169 [.] 160: 443 - HTTPS / SSL
  • 185.212.47 [.] 167: 443 - HTTPS / SSL
  • 89.163. [.] 144.224: 80 - GET /klansfuuerifneiferunfasd/modules/client[.rar
  • Adsfinder [.] xyz (185.158.249 [.] 39: 443) HTTPS / SSL
  • 85.114.134 [.] 49:80 - POST /index.php
  • 198.54.125 [.] 57: 443 - HTTPS / SSL
  • qqtube [.] club (109.230.199 [.] 24: 443) - HTTPS / SSL
  • Parolinos [.] xyz (176.10.125 [.] 110: 443) - HTTPS / SSL
  • 68.65.122 [.] 52: 443 - HTTPS / SSL

SHA256 Hash für Ursnif-Programmdatei: 50007a82f044a695ec9c1cfcc7a495211061112ea6a92771 0ebd3e6c4409e3a2

VirusTotal Analysis: https://www.virustotal.com/#/file/50007a82f044a695ec9c1cfcc7a495211061112ea6a927710ebd3e6c4490e3a2/detection

  • Noch ein Hinweis: Die oben aufgeführten IOCs geben möglicherweise an, dass die Liste der IP-Adressen tatsächlich bösartig ist. Es müssten weitere Nachforschungen angestellt werden, bevor entschieden wird, sie einer Blockliste hinzuzufügen.

Fazit

Dies war eine weitere lustige Herausforderung von Brad und ich hoffe, dass jeder, der liest, etwas Nützliches gefunden hat oder daraus lernen kann.

Fröhliches Jagen!

Siehe auch

EMPFEHLUNGEN ZUM KAUF IHR NÄCHSTES SMARTPHONEWie fixiere ich den schwarzen Bildschirm auf dem ACER-Laptop?Galaxy Note 10 | Preis, Erscheinungsdatum, Spezifikation und mehrFingerabdruck kostenlos herunterladen Stil AufrufReread - kuratierte Serie | 4. Mai 2019 | E01Rufen Sie + 1–888–902–8333 Online-Kundenservices für HP Benutzer an