流量安全分析(五):如何通过“流量线索”进行恶意程序感染分析
原始PCAP 数据包下载地址:http://www.watcherlab.com/file/download/2015-09-23-traffic-analysis-exercise.pcap(1.5 MB)
场景说明:
我们从被感染的电脑抓取到PCAP数据报文。根据这些流量,弄清楚感染是如何发生的,根本原因是什么。
场景详细分析:
用wireshark打开PCAP数据包。首先,我们过滤http.request字段,看看有什么可以发现的,如下图:
可以看到除了一些http GET和POST请求,没有其他发现。见下图:
我们找不到其它任何东西从PCAP数据包中。现在,通过google搜索这个IP和对应端口;来自hybrid-analysis.com分析。发现恶意软件分析的结果(参见下图中的顶部的搜索结果)。如下图:
通过查看hybrid-analysis.com结果,你会发现同样的流量特性也可以在我们的PCAP数据包看到。下载并检查hybrid-analysis.com的PCAP数据包,以确认它们具有相同的流量模式。如下图: