Wireshark6 详细操作步骤.pdfVIP

Wir shark （六）审计Ursnif的感染情况 翻译整理自Unit42 《Wir shark Tutorial》系列文章 Ursnif是一种银行木马，有时被称为Gozi或IFSB，Ursnif系列的恶意软件已经活跃了多年，目前的样 本产生了独特的流量模式，在检测和调查Ursnif感染时，了解其流量模式对安全专家来说至关重 要。本篇文章使用Wir shark对Ursnif产生的流量进行进行分析，介绍Ursnif传播的方式、Ursnif流量 的分类和五个来自Ursnif感染的捕获文件。 晨曦说： 这篇文章只是从网络流量层面来观察Ursnif和其引入的后续恶意软件的行为，我第一遍看的时候有 一种参考答案的感觉，个人认为想要通过这样一篇文章来了解Ursnif的感染行为实在有些费劲，不 过这篇文章提供的思路还是值得学习的，下面分享一下我的收获： 1. URL长得奇奇怪怪的请求很可疑，向知名站点发送这种诡异的URL就更离谱了； 2. 域名看起来很奇怪的（一般域名应该是方便记忆的），十有八九有鬼怪； 3. HTTPS流量的证书一定要多留意； 4. ip contains This program可以用来快速查找流量中传输的EX E文件； 5. 对于HTTP流量，跟踪“HTTP流”比“TCP流”效果要好一些。 Wireshark （六）审计Ursnif的感染情况 1. Ursnif 传播方式 2. Ursnif 流量的分类 3. 样本 3.1 不使用HTTPS的Ursnif 3.2 使用 HTTPS 的 Ursnif 3.3 释放其他恶意软件的 Ursnif 3.4 带有 Drid x 的 Ursnif 3.5 练习 1. Ursnif 传播方式 Ursnif可以通过基于网络的感染链和恶意垃圾邮件进行传播，在某些情况下，Ursnif是由不同的恶意软件 家族（如Hancitor）引起的后续感染。下图为常见的基于垃圾邮件的感染链： 2. Ursnif 流量的分类 本篇文章将介绍两种Ursnif感染的流量： 1. 感染后不使用HTTPS的流量； 2. 感染后使用HTTPS的流量。 两种类型的恶意软件样本会在被感染的Windows主机中创建同种类型的文件，例如两种Ursnif都通过更新 Windows注册表保持其在Windows主机中的持久性。 3. 样本 3.1 不使用HTTPS的Ursnif 本文第一个 pcap 文件为 “Ursnif-traffic- xampl -1.pcap” ，该文件中已删除和 Ursnif 感染没有关系的流 量。 在这个样本中，被 Ursnif 感染的主机使用以 .at 结尾的各种域名生成访问 8.208.24 .139 的流量，此类 Ursnif会导致网络中出现以下流量： 由最初的 Ursnif 程序产生的 HTTP GET 请求； 后续数据的 HTTP GET 请求，URL 以 .dat 结尾的； Ursnif 在 Windows 注册表持久化后 的HTTP GET 和 POST 请求。 在我们的第一个样本中出现了以下 HTTP 数据： 最初 HTTP GET 请求的域名： w8.wensa.at 后续数据的请求： hxxp://api2 .casys.at/jvassets/xI/t64 .dat Ursnif 持久化后 HTTP 请求对应的域名： h1.wensa.at 跟踪在 20:13:09 UTC 时间最早的 HTTP