WireShark黑客发现之旅(3)—Bodisparking恶意代码

WireShark黑客发现之旅(3)—Bodisparking恶意代码

聚锋实验室 · 2015/07/21 10:41

作者:Mr.Right、Evancss、K0r4dji

申明:文中提到的攻击方式仅为曝光、打击恶意网络攻击行为,切勿模仿,否则后果自负。

0x00 发现


接到客户需求,对其互联网办公区域主机安全分析。在对某一台主机通信数据进行分析时,过滤了一下HTTP协议。

一看数据,就发现异常,这台主机HTTP数据不多,但大量HTTP请求均为“Get heikewww/www.txt”,问题的发现当然不是因为拼音“heike”。点击“Info”排列一下,可以看得更清楚,还可以看出请求间隔约50秒。

为更加准确地分析其请求URL地址情况,在菜单中选择Statistics,选择HTTP,然后选择Requests。可以看到其请求的URL地址只有1个:“d.99081.com/heikewww/www.txt”,在短时间内就请求了82次。

这种有规律、长期请求同一域名的HTTP通信行为一般来说“非奸即盗”。

  1. 奸:很多杀毒软件、APP、商用软件,为保持长连接状态,所装软件会定期通过HTTP或其它协议去连接它的服务器。这样做的目的可以提供在线服务、监控升级版本等等,但同时也可以监控你的电脑、手机,窃取你的信息。
  2. 盗:木马、病毒等恶意软件为监控傀儡主机是否在线,会有心跳机制,那就是通过HTTP或其它协议去连接它的僵尸服务器,一旦你在线,就可以随时控制你。

我们再过滤一下DNS协议看看。

可以看出,DNS请求中没有域名“d.99081.com”的相关请求,木马病毒通信不通过DNS解析的方法和技术很多,读者有兴趣可以自行查询学习。所以作为安全监控设备,仅基于DNS的监控是完全不够的。

接下来,我们看看HTTP请求的具体内容。点击HTTP GET的一包数据,可以看到请求完整域名为“d.99081.com/heikewww/www.txt”,且不断去获得www.txt文件。

Follow TCPStream,可以看到去获得www.txt中的所有恶意代码。

0x01 关联


到这儿,基本确认主机10.190.16.143上面运行了恶意代码,它会固定时间同199.59.243.120这个IP地址(域名为d.99081.com)通过HTTP协议进行通信,并下载运行上面的/heikewww/www.txt。

那么,是否还有其它主机也中招了呢?

这个问题很好解决,前提条件是得有一段时间全网的监控流量,然后看看还有哪些主机与IP(199.59.243.120)进行通信,如果域名是动态IP,那就需要再解析。

  1. 如果抓包文件仅为一个PCAP文件,直接过滤“ip.addr==199.59.243.120”即可。
  2. 全网流量一般速率较高,想存为一个包的可能性不大。假如有大量PCAP文件,一样通过WireShark可以实现批量过滤。

下面我们就根据这个案例,一起了解一下WireShark中“tshark.exe”的用法,用它来实现批量过滤。

Tshark的使用需要在命令行环境下,单条过滤命令如下:

cd C:\Program Files\Wireshark
tshark -r D:\DATA\1.cap -Y "ip.addr==199.59.243.120" -w E:\DATA\out\1.cap

解释:先进到WireShark目录,调用tshark程序,-r后紧跟源目录地址,-Y后紧跟过滤命令(跟Wireshrk中的Filter规则一致),-w后紧跟目的地址。

有了这条命令,就可以编写批处理对文件夹内大量PCAP包进行过滤。

通过这种办法,过滤了IP地址199.59.243.120所有的通信数据。

统计一下通信IP情况。

根据统计结果,可以发现全网中已有4台主机已被同样的恶意代码所感染,所有通信内容均一样,只是请求时间间隔略微不同,有的为50秒,有的为4分钟。

0x02 深入


1 恶意代码源头

在www.txt中我们找到了“/Zm9yY2VTUg”这个URL,打开查看后,发现都是一些赞助商广告等垃圾信息。如下图:

通过Whois查询,我们了解到99081.com的域名服务器为ns1.bodis.com和ns2.bodis.com,bodis.com是 BODIS, LLC公司的资产,访问其主页发现这是一个提供域名停放 (Domain Parking)服务的网站,用户将闲置域名交给它们托管,它们利用域名产生的广告流量和点击数量给用户相应的利益分成。

2 恶意代码行为

经过公开渠道的资料了解到Bodis.com是一个有多年经营的域名停放服务提供商,主要靠互联网广告获取收入,其本身是否有非法网络行为还有待分析。

99081.com是Bodis.com的注册用户,即域名停放用户,它靠显示Bodis.com的广告并吸引用户点击获取自己的利润分成,我们初 步分析的结果是99081.com利用系统漏洞或软件捆绑等方式在大量受害者计算机上安装并运行恶意代码访问其域名停放网站,通过产生大量流向 99081.com的流量获取Bodis.com的利润分成。通常这种行为会被域名停放服务商认定为作弊行为,一旦发现会有较重的惩罚。

3 攻击者身份

根据代码结合其它信息,基本锁定攻击者身份信息。下图为其在某论坛注册的信息:

0x03 结论

  1. 攻击者通过非法手段利用域名停放网站广告,做一些赚钱的小黑产,但手法不够专业;
  2. 攻击方式应是在通过网站挂马或软件捆绑等方式,访问被挂马网站和下载执行了被捆绑软件的人很容易成为受害者;
  3. 恶意代码不断通过HTTP协议去访问其域名停放网站,攻击者通过恶意代码产生的流量赚钱。
时间: 2024-07-28 12:31:44

WireShark黑客发现之旅(3)—Bodisparking恶意代码的相关文章

Wireshark黑客发现之旅(4)——暴力破解

Wireshark黑客发现之旅(4)——暴力破解 聚锋实验室 · 2015/08/10 10:33 作者:Mr.Right.K0r4dji 申明:文中提到的攻击方式仅为曝光.打击恶意网络攻击行为,切勿模仿,否则后果自负. 一.个人观点 暴力破解,即用暴力穷举的方式大量尝试性地猜破密码.猜破密码一般有3种方式: 1.排列组合式:首先列出密码组合的可能性,如数字.大写字母.小写字母.特殊字符等:按密码长度从1位.2位……逐渐猜试.当然这种方法需要高性能的破解算法和CPU/GPU做支持. 2.字典破解

WireShark黑客发现之旅—肉鸡邮件服务器

WireShark黑客发现之旅—肉鸡邮件服务器 聚锋实验室 · 2015/07/06 10:45 0x00 背景 肉鸡也称傀儡机,是指可以被黑客远程控制的机器.一旦成为肉鸡,就可以被攻击者随意利用,如:窃取资料.再次发起攻击.破坏等等.下面将利用WireShark一起学习一种肉鸡的用途:广告垃圾邮件发送站. 0x01 发现问题 在对某企业服务器群进行安全检测时发现客户一台服务器(10.190.214.130)存在异常,从其通信行为来看应该为一台空闲服务器. 经过一段时间的抓包采集,对数据进行协议

WireShark黑客发现之旅--开篇

WireShark黑客发现之旅--开篇 聚锋实验室 · 2015/06/18 10:41 0x00 先说几句 一看题目,很多朋友就会有疑问:市面上那么多的安全监控分析设备.软件,为什么要用WireShark来发现黑客和攻击行为?我想说的是 WireShark目前作为最优秀的网络分析软件,如果用好了,比任何设备.软件都Nice.首先,它识别的协议很多:其次,WireShark其实具备 很多分析功能:最主要的,它免费,既能采集又能分析,不丢包.不弃包. 我们虽然也接触了很多监控分析设备,但在分析中始

Dev发现之旅之——AR技术

摘要:我,DevStore小编一名,和大家一样朝九晚五的上下班(有时也会朝九晚九==),看似每天忙忙碌碌,但却不知道在忙些什么.最近公司来了一技术大哥,偶然从他那了解到一项自己从前不晓得的技术-AR技术,感觉挺酷的,当然由于工作需要,自己也做了些工作.于是乎,小编迫不及待想分享给大家了. By the way,小编题目中的"Dev"可不是指最近很火的戴维哦,小编是指DevStore,意思差不多就是小编在DevStore的发现啦~ AR's Show Time: 小名:AR技术 中文名称

恶意代码分析实战

恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典) [美]Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著   <恶意代码分析实战>是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意代码分析的实用技术方法. <恶意代码分析实战>分为21章,覆盖恶意代码行为.恶意代码静态分析方法.恶意代码动态分析方法.恶意代码对抗与反对抗方法等,并包含了 shellcode分析

NetSarang软件中nssock2.dll模块被植入恶意代码技术分析与防护方案

原文地址:http://blog.nsfocus.net/nssock2-dll-module-malicious-code-analysis-report/ NetSarang是一家提供安全连接解决方案的公司,该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd.最近,官方在2017年7月18日发布的软件被发现有恶意后门代码,该恶意的后门代码存在于有合法签名的nssock2.dll模块中.从后门代码的分析来看,该代码是由于攻击者入侵的开发者的主

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

20145207李祉昂《网络对抗技术》恶意代码分析

实验内容 schtasks.Sysmon对电脑进行系统检测,并分析. 对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件. 对恶意软件进行动态分析,使用systracer,以及wireshark分析. 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. schtasks,Sysmon监控 (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. wi

20145309 《网络攻防》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增删添改,系统上各类程序和文件的行为记录以及权限,实现网络连接的进程,使用的IP地址和端口号等 使用Schtasks指令.sysmon.TCPView.WireShark等工具 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 首先使用静态分析将其上传至扫描网站.后使用TCPView工具查看正在联网的进程,进行的初步分析,再通过sysmon事件日志,找到怀疑的程