如何通过“流量线索”进行恶意程序感染分析

流量安全分析（五）：如何通过“流量线索”进行恶意程序感染分析

• from: https://www.sec-un.org/traffic-safety-analysis-v-how-to-traffic-trail-for-malware-infections/

原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)

 

场景说明：

我们从被感染的电脑抓取到PCAP数据报文。根据这些流量，弄清楚感染是如何发生的，根本原因是什么。

 

场景详细分析：

用wireshark打开PCAP数据包。首先，我们过滤http.request字段，看看有什么可以发现的，如下图：

可以看到除了一些http GET和POST请求，没有其他发现。见下图：

我们找不到其它任何东西从PCAP数据包中。现在，通过google搜索这个IP和对应端口；来自hybrid-analysis.com分析。发现恶意软件分析的结果（参见下图中的顶部的搜索结果）。如下图：

        通过查看hybrid-analysis.com结果，你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包，以确认它们具有相同的流量模式。如下图：

点击进入VirusTotal恶意软件分析结果页面。可以点击 “VirusTotal Report”按钮得到分析结果。如下图：

只需点击该文件hash就可以看到VirusTotal对.zip存档报告。如下图：

而这里的报告，我们注意到它有评论。如下图：

        多数人提交恶意程序到VirusTotal都没有任何评论。在这个事件里，一些乐于助人的人发评论表示.zip文件是如下从电子邮件中来的。如下图：

这到底是什么恶意软件？也可以提交PCAP数据包到VirusTotal都看到可以触发什么报警。PCAP数据包流量触发Zeus(宙斯)或某种宙斯变种报警。zeus宙斯是密码窃取程序。如下图：