您当前的位置: 首页 > 

星球守护者

暂无认证

  • 3浏览

    0关注

    641博文

    0收益

  • 0浏览

    0点赞

    0打赏

    0留言

私信
关注
热门博文

日志流量分析之ftp传输过程分析

星球守护者 发布时间:2021-09-18 19:09:22 ,浏览量:3

文章目录
      • 思路总结
      • 日志文件分析
        • 第一步 获取数据包,并使用wirshark打开
        • 第二步 分析告警日志信息,确实是通过ftp传输进入
        • 第三步 通过过来ftp的协议,查看数据包
        • 第四步 通过过来规则,进一步获取ftp的一些信息
        • 第五步 与此同时发现目的IP地址,在不断变化
        • 第六步 继续第四步,分析ftp传输了那些操作
        • 第七步 发现进行截屏记录,跟踪数据流,还原图片
        • 第八步 分析入侵的IP地址
      • 简报
      • 免责声明

思路总结
  • 第一步 使用wirshark结合告警日志,分析可能存在的攻击类型:通过ftp进行传输的
  • 第二步 结合对ftp请求中中包含user\pass进行过滤,获得ftp传输的账号和密码
  • 第三步 通过过来ftp-data确认传输的图片、文件,从而确认是窃取敏感信息的
  • 第四步 通过分析目标主机的,确认攻击着的恶意ip地址
日志文件分析 第一步 获取数据包,并使用wirshark打开

在这里插入图片描述

第二步 分析告警日志信息,确实是通过ftp传输进入

在这里插入图片描述

第三步 通过过来ftp的协议,查看数据包

此时确认是通过ftp传输,初步判断是获取用户名和密码 在这里插入图片描述

第四步 通过过来规则,进一步获取ftp的一些信息

ftp.request.command eq USER or ftp.request.command eq PASS or ftp.request.command eq STOR 命令中or表示任一条件满足即可,eq是等于的意思,用于限定命令过滤出USER或者PASS,并且跟踪数据流

在这里插入图片描述 在这里插入图片描述

第五步 与此同时发现目的IP地址,在不断变化
  • 145.14.145.4
  • 145.14.144.16
  • 145.14.145.99

其实是因为攻击者用的是免费的虚拟主机,比如000webhost。如果更新页面或者传送数据则有可能会导致自动更换ip。

第六步 继续第四步,分析ftp传输了那些操作

过滤ftp-data

PC Name: BREAUX-WINT-PCLocal Time: 5/2/2019 9:36:23P
Istalled language: en-US
Net version:2.0.50727.5420
Operating System Platform: Win32NT
Operating System version: 6.1.7601.65536
Operating System: Microsoft Windows 7 Enterprise
Internal IP Addr 10.0.0.22

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

第七步 发现进行截屏记录,跟踪数据流,还原图片

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

第八步 分析入侵的IP地址

把完整的ftp协议过滤出来:ftp-data or ftp

  • 先第一个外网ip:145.14.145.4

在这里插入图片描述 在这里插入图片描述

在715到744之间都是命令端口通信的流量。 所以此时的IOC是

 Ip:145.14.145.4 
port:21 
url:000.webhost.com
745开始是通过被动模式连接后进行数据传输了

在这里插入图片描述 在这里插入图片描述

所以第二条IOC为

  Ip:145.14.145.4 
port:37280 
url:000webhost.com
  • 接下来看第二个ip,145.14.144.10

在839到858之间都是命令端口通信的流量。

Ip:145.14.144.10 
 port:21  
 000webhost.com

在这里插入图片描述

在867到884之间都是命令端口通信的流量。

 Ip:145.14.144.10  
 port:40651 
  000webhost.com

在这里插入图片描述

在887到5174之间都是命令端口通信的流量。

Ip:145.14.144.10  
port:47434 
 url:000webhost.com

在这里插入图片描述 在这里插入图片描述

  • 第三个外网ip145.14.145.99,从5260开始

在5260到5284之间都是命令端口通信的流量。

Ip:145.14.145.99 
 port:21 
  url:000webhost.com

在这里插入图片描述

在5285到5291之间都是命令端口通信的流量。

Ip:145.14.145.99 
port:36091
 url:000webhost.com

在这里插入图片描述

在5309开始,都是命令端口通信的流量。

Ip:145.14.145.99 
 port:35396 
  url:000webhost.com

在这里插入图片描述

简报

1)在2019年5月2日21点36分,Adriana.breaux的window主机被Hawkeye keylogger恶意软件感染 2)攻击细节整理:

  • 主机名:BREAUX-WIN7-PC

  • 用户名:Adriana.breaux

  • MAC地址:84:8f:69:09:86:c0

  • Ip地址:10.0.0.227

3)入侵指标IOC(Indicatorsof Compromised):

  • Ip:145.14.145.4 port:21 url:000.webhost.com
  • Ip:145.14.145.4 port:37280 url:000webhost.com
  • Ip:145.14.144.10 port:21 url:000webhost.com
  • Ip:145.14.144.10 port:40651 url:000webhost.com
  • Ip:145.14.144.10 port:47434 url:000webhost.com
  • Ip:145.14.145.99 port:21 url:000webhost.com
  • Ip:145.14.145.99 port:36091 url:000webhost.com
  • Ip:145.14.145.99 port:35396 url:000webhost.com。
免责声明

本文档供学习,请使用者注意使用环境并遵守国家相关法律法规! 由于使用不当造成的后果上传者概不负责!

关注
打赏
1662051426
查看更多评论

最近更新

热门博客

[ 申请 ]友情链接:

ClashX教程 绘画宝宝 配音宝宝
立即登录/注册

微信扫码登录

0.1479s