如何通过“流量线索”进行恶意程序感染分析

本文介绍了一种利用网络流量数据(PCAP)分析恶意软件感染的方法。通过Wireshark过滤HTTP请求,结合hybrid-analysis.com和VirusTotal的分析结果,确定了感染源为一封电子邮件中的ZIP文件,内含Zeus(宙斯)木马。此过程展示了如何从流量中追踪恶意程序,对网络安全防护有重要指导意义。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)

 

场景说明:

我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。

1

 

场景详细分析:

用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:

2

可以看到除了一些http GET和POST请求,没有其他发现。见下图:

3

我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:

4
        通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图:

5

点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图:

6

只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图:

8

而这里的报告,我们注意到它有评论。如下图:

9
        多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里,一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图:

9

这到底是什么恶意软件?也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图:

10

 

转载于:https://www.cnblogs.com/bonelee/p/11382112.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值