流量分析

分 析 報 告
數(shù)據(jù)包：

LAN SEGMENT屬性：
IP范圍：10.1.75.0/24（10.1.75.0到10.1.75.255）
網關IP：10.1.75.1
廣播IP：10.1.75.255
域控制器（DC）：PixelShine-DC，10.1.75.4
域名：pixelshine.net

需求：

說明這種感染的時間和日期。
確定受感染的Windows客戶端的IP地址。
確定受感染的Windows客戶端的主機名。
確定受感染Windows客戶端的MAC地址。
確定受感染Windows客戶端上使用的Windows用戶帳戶名。
確定受害者下載的Word文檔的SHA256哈希值。
確定發(fā)送到受感染Windows客戶端的第一個惡意軟件二進制文件的SHA256哈希值。
確定10.1.75.4處的域控制器（DC）被感染的時間。
確定發(fā)送到受感染Windows客戶端的第二個惡意軟件二進制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個文件哈希是什么？
確定Windows客戶端感染的兩類惡意軟件。
確定DC感染的一個惡意軟件系列。
確定受感染Windows客戶端的公共IP地址。

使用WireShark“統(tǒng)計”下的“協(xié)議分級”，查看流量：

使用科來查看協(xié)議

說明這種感染的時間和日期。
###第一個文檔；也就是word格式的文件下載好的時間

確定受感染的Windows客戶端的IP地址。

IP地址：10.1.75.4

確定受感染的Windows客戶端的主機名。

主機名：rigsby-win-pc$

確定受感染Windows客戶端的MAC地址。

MAC地址：84:2B:2B:D3:55:73

確定受感染Windows客戶端上使用的Windows用戶帳戶名。

用戶賬戶名：jubson.rigsby

確定受害者下載的Word文檔的SHA256哈希值。

###導出對象，選擇HTTP，保存在本地
###右鍵查看文件的文本校驗
哈希值：1112203340b2d66f15b09046af6e776af6604343c1e733fe419fdf86f851caa3

確定發(fā)送到受感染Windows客戶端的第一個惡意軟件二進制文件的SHA256哈希值。
###使用科來點擊協(xié)議查看HTTP，找到通過GET方式獲得的資源

###返回WireShark，過濾器搜索http，找到相關信息。

###步驟同上，導出對象，保存到本地查看哈希值
哈希值： 0d7a4650cdc13d9217edb05f5b5c2c5528f8984dbbe3fbc85f4a48ae51846cc3

確定10.1.75.4處的域控制器（DC）被感染的時間。

時間：2018年10月2日3點01分

確定發(fā)送到受感染Windows客戶端的第二個惡意軟件二進制文件的SHA256哈希值（與radiance.png和table.png檢索的文件相同）。

哈希值： 28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
可以使用Wireshark從SMB流量中檢索的可執(zhí)行文件的兩個文件哈希是什么？
##使用WireShark通過導出對象，選擇SMB，查看文件哈希值

哈希值：1）28c33a9676f04274b2868c1a2c092503a57d38833f0f8b964d55458623b82b6e
2）cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560

確定Windows客戶端感染的兩類惡意軟件。
宏類，木.馬類型

確定DC感染的一個惡意軟件系列。
（后門）木.馬系列

確定受感染Windows客戶端的公共IP地址。

公共IP地址：109.238.74.213