トラフィック分析

開発 2019-08-03 03:41:00 訪問数: null

分析レポート
パケット:

LANセグメントプロパティ:
IP範囲:10.1.75.0/24(10.1.75.255に10.1.75.0)
ゲートウェイIP:10.1.75.1
ブロードキャストIP:10.1.75.255
ドメインコントローラ(DC):PixelShine-DC、 10.1.75.4
ドメイン:pixelshine .NET

要件:

この感染症の説明時間と日付。
感染したWindowsクライアントのIPアドレスを決定します。
感染したWindowsクライアントのホスト名を決定します。
感染したWindowsクライアントのMACアドレスによって決まります。
使用するために感染したWindowsクライアント上のWindowsユーザーアカウント名で決定。
被害者のダウンロード可能なWord文書を決定するために、SHA256ハッシュ値。
SHA256ハッシュ値は、最初のマルウェアバイナリを感染し、Windowsクライアントを送信すると判断されます。
ドメインコントローラ10.1.75.4(DC)感染の時点で決定します。
ハッシュ値は(同じ検索radiance.pngとtable.pngファイルに)感染したWindowsクライアントのマルウェア秒バイナリファイルを送信するために決定されSHA256。
あなたはその2つのファイルハッシュのためのSMBトラフィックから取得Wiresharkの実行可能ファイルを使用することができますか?
マルウェア感染のタイプを決定するために、Windowsクライアント。
DCは、マルウェアの家族に感染して決定します。
影響を受けた感染WindowsクライアントのパブリックIPアドレスを決定します。

トラフィックを見ることがWireSharkの「統計」の下に「プロトコル分類」を使用:
トラフィック分析
使用セクションが契約を表示します
トラフィック分析

この感染症の説明時間と日付。
###最初の文書、良い時間をダウンロードするつまり、単語ファイル形式
トラフィック分析

感染したWindowsクライアントのIPアドレスを決定します。
トラフィック分析
IPアドレス:10.1.75.4

感染したWindowsクライアントのホスト名を決定します。
トラフィック分析
ホスト名:rigsby-WIN-PC $が
トラフィック分析
感染したWindowsクライアントのMACアドレスを決定します。
トラフィック分析
MACアドレス:84:2B:2B:D3 :55:73

使用するために感染したWindowsクライアント上のWindowsユーザーアカウント名で決定。
トラフィック分析
ユーザーアカウント名:jubson.rigsby

被害者のダウンロード可能なWord文書を決定するために、SHA256ハッシュ値。
トラフィック分析
トラフィック分析
トラフィック分析

###エクスポートオブジェクトを選択HTTP、ローカルに保存された
ビューファイル###テキストは右チェック
ハッシュ値を:1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

SHA256ハッシュ値は、最初のマルウェアバイナリを感染し、Windowsクライアントを送信すると判断されます。
GETメソッドを介して取得したリソースを見つける、プロトコルのHTTPを見るためにクリック###セクションを使用し
トラフィック分析
、関連情報を見つける、WireSharkのを返す###、フィルタ検索のhttpを。
トラフィック分析
###上記の手順、輸出オブジェクト、ローカル視聴ハッシュ値を保存する
ハッシュ値:0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3

ドメインコントローラ10.1.75.4(DC)感染の時点で決定します。
トラフィック分析
時間:午前3時01分に2018年10月2日に

ハッシュ値は(同じ検索radiance.pngとtable.pngファイルに)感染したWindowsクライアントのマルウェア秒バイナリファイルを送信するために決定されSHA256。
トラフィック分析
トラフィック分析

ハッシュ値:28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
Wiresharkのは、そのSMBトラフィックの実行可能ファイルのハッシュから2つのファイルを取得するために使用することができますか?
##、オブジェクトをエクスポートすることによって選択SMBをWireSharkのに使用するファイルハッシュビュー
トラフィック分析
ハッシュ値:1)28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
)2 cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560

マルウェア感染のタイプを決定するために、Windowsクライアント。
Acerのクラス、木製の馬のタイプ

DCは、マルウェアの家族に感染して決定します。
(バックドア)木馬シリーズ

影響を受けた感染WindowsクライアントのパブリックIPアドレスを決定します。

トラフィック分析
トラフィック分析

パブリックIPアドレス:109.238.74.213

おすすめ

転載: blog.51cto.com/14239091/2426083
おすすめ
ライナスは「ドッグフードを食べる」ことに最も積極的!
Open Source Daily | Winamp プレーヤーがオープンソースになりつつある; 生成 AI の戦いは第 2 ラウンドにエスカレート; AI はバブルの初期段階に入った; Yongming を Alibaba Cloud に導入しますか?
ランキング
C言語プログラミングの最新の方法(第2回)第12章回答(自分で書いた回答、継続的に更新)
フレームワークの蜂のアップロードファイルに移動します
タイトルバーシリーズ:タイトルバーで遭遇したピットを非表示にする
Unityはゲームオブジェクトの様々な状況を取得します
N個の異なるボールは、Mどのように多くの種類のプログラムのと同じ袋に入れられますか?
オブジェクト指向のクラス、オブジェクト21
C ++オブジェクト指向プログラミングの研究ノート(8)
P3954 [NOIP2017 普及组] 成绩
分業のプロセス間通信 - ロック
ハッカーは通常、DOSコマンドウィンドウを使用します
アーカイブ
もっと
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)

コードワールド

© 2018 codetd.com