本文作者: 3s_NwGeek
原创投稿详情:重金悬赏 | 合天原创投稿等你来!
背景介绍:
公司检测到异常流量,及多名员工收到钓鱼邮件,发现某邮件系统存在漏洞 , 黑客通过该漏洞获取大量信息 ,所以抽取当天网络流量进行分析,数量有5.3G,大概一千三百万个数据包。
分析目标:
1. 攻击者使用的伪造邮箱地址是多少
2. 攻击者发送钓鱼邮件的ip是多少
3. 邮件中的恶意url是多少
4. 攻击者发送成功的钓鱼邮件是什么
5. 服务器的漏洞是什么
6. 黑客对系统进行了什么攻击
前期准备:
1. Wireshark(流量分析工具)
2. Python(pyshark数据包处理模块)
3. 面对一千三百万个数据包不放弃的精神
分析过程大纲:
1. 流量清洗
2. 流量分层
3. 入侵流量追踪
4. 漏洞溯源分析
0x01: 流量清洗
在等量分解的数据包中,取样抽查,每个分包大概有66万个包左右
再看看数据包协议分层
协议分层中看到smtp协议(邮件服务协议) #SMTP协议详解请见附录4
根据背景描述,公司检测到异常流量,及多名员工收到钓鱼邮件,初步猜测,攻击者对网站攻击引发异常流量并且使用邮件服务协议发送的钓鱼邮件。
所以暂且先看smtp协议和http协议的数据包
进行流量清洗
Wireshark自带工具:
mergecap(合并流量包)
tshark(流量包过滤)
editcap(流量包分解)
(用法参考附录:流量包分解合并(wireshark自带))
清洗思路(合并流量包→筛选smtp、http协议→得出流量包)
第一步将所有流量包合并:
mergecap -w total.pcap a.pcap b.pcap //(文件名太长简写成a和b)
得到total.pcap,对它经行流量清洗,目标是过滤出,smtp,http流量
清洗:tshark -r total.pcap -Y pop||smtp||http -w result.pcap(total.pcap为上一步合并的数据包)
(过滤参数可以参考文末附录:Tshark使用参数详解)
得出:result.pcap 2万个数据包左右,以下过程都基于这个数据包
0x02: 流量分层
接下来先看smtp数据包,wireshark过滤条件为:smtp
选择统计→对话,查看流量走向情况
发现两个ip地址存在。分别查看他们ip的流量
1). 过滤条件为smtp and ip.addr==101.36.79.67
发现一个邮箱发到多个邮箱相同的邮件,
邮件内容为:A new system of IT is online, please click on the link below, to assist to test the running state of system,thank you! http://211341.vhost328.cloudvhost.cn
邮件内容有诱导性点击链接并带有url地址http://211341.vhost328.cloudvhost.cn,比较可疑
尝试过滤条件为smtp and ip.addr==112.90.83.115
从该ip邮件中内容上看未发现异常
相比之下101.36.79.67比较可疑,需再一步证实
再回到筛选条件为smtp的数据包,遍历所有的数据包,统计邮箱出现最多的次数(附件在附录解释下,先看图)
遍历所有stmp邮件发现it@t3sec.cc这个邮箱出现次数异常,比其他邮箱出现次数多10倍,由此综合上面先前推测可疑邮件发送ip地址,和发送这个邮件的ip地址101.36.79.67地址相吻合,所以推断:
攻击者ip为101.36.79.67
攻击者使用的伪造邮箱地址是it@t3sec.cc
可疑钓鱼链接为: http://211341.vhost328.cloudvhost.cn
发现基本只有172.16.60.200在使用邮件服务器172.16.60.247
并且登陆邮箱为
0x03: 入侵流量追踪
根据发现攻击者的ip
去重新筛选数据包,条件为源ip为101.36.79.67的数据包
尝试搜索木马及注入或xss关键字
ip.addr == 101.36.79.67 输出文件> 源文件1> 源文件2> ...
示例:
mergecap -w compare.pcap a.pcap b.pcap
Tshark -r target.pcap -Y pop -w pop.pcap
附录二:Tshark使用参数详解
Tshark官方文档https://www.wireshark.org/docs/man-pages/tshark.html
捕获接口:
-i: -i interface> 指定捕获接口,默认是第一个非本地循环接口;
-f: -f capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。
-s: -s snaplen> 设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认也是这个值;
-p: 以非混合模式工作,即只关心和本机有关的流量。
-B: -B buffer size> 设置缓冲区的大小,只对windows生效,默认是2M;
-y: -ylink type> 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等;
-D: 打印接口的列表并退出;
-L 列出本机支持的数据链路层协议,供-y参数使用。
捕获停止选项:
-c: -c packet count> 捕获n个包之后结束,默认捕获无限个;
-a: -a autostop cond.> ... duration:NUM,在num秒之后停止捕获;
filesize:NUM,在numKB之后停止捕获;
files:NUM,在捕获num个文件之后停止捕获;
捕获输出选项:
-b ringbuffer opt.> ... ring buffer的文件名由-w参数决定,-b参数采用test:value的形式书写;
duration:NUM - 在NUM秒之后切换到下一个文件;
filesize:NUM - 在NUM KB之后切换到下一个文件;
files:NUM - 形成环形缓冲,在NUM文件达到之后;
RPCAP选项:
remote packet capture protocol,远程抓包协议进行抓包;
-A: -A user>:password>,使用RPCAP密码进行认证;
输入文件:
-r: -r infile> 设置读取本地文件
处理选项:
-2: 执行两次分析
-R: -R read filter>,包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。
-Y: -Y display filter>,使用读取过滤器的语法,在单次分析中可以代替-R选项;
-n: 禁止所有地址名字解析(默认为允许所有)
-N: 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
-d: 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。
输出选项:
-w: -w outfile|-> 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout,“-w -”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。
-F: -F output file type>,设置输出的文件格式,默认是.pcapng,使用tshark -F可列出所有支持的输出文件类型。
-V: 增加细节输出;
-O: -O protocols>,只显示此选项指定的协议的详细信息。
-P: 即使将解码结果写入文件中,也打印包的概要信息;
-S: -S separator> 行分割符
-x: 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。
-T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text
-e: 如果-T fields选项指定,-e用来指定输出哪些字段;
-E: -E fieldsoption>=value>如果-T fields选项指定,使用-E来设置一些属性,比如
header=y|n
separator=/t|/s|char>
occurrence=f|l|a
aggregator=,|/s|char>
-t: -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。
-u: s|hms 格式化输出秒;
-l: 在输出每个包之后flush标准输出
-q: 结合-z选项进行使用,来进行统计分析;
-X: key>:value> 扩展项,lua_script、read_format,具体参见 man pages;
-z:统计选项,具体的参考文档;tshark -z help,可以列出,-z选项支持的统计方式。
其他选项:
-h: 显示命令行帮助;
-v: 显示tshark 的版本信息;
附录三:Pyshark过滤参数
a= pyshark.FileCapture(path,display_filter='http')
a为定义pcap文件对象
本次主要用到过滤参数有
a.highest_layer 最高层的协议内容
a.http.request_method 请求方法
a.http.chat 访问方法加路径
a.http.request_uri 访问路径
a.http.host 访问host地址
a.http.field_names http包参数
a.ip.src_host 源ip地址
a.ip.dst_host 目的地址
a.http.request_full_uri url地址
str(c.http.file_data) 返回包内容
附录四:SMTP协议解释
SMTP协议 服务器的熟知端口号为25 ,与之前总结过的telnet协议和FTP协议类似的地方是,SMTP协议的客户端和服务器端都是通过命令和响应的形式进行交互 ,即SMTP客户通过命令向SMTP服务器发送操作请求,而服务器则通过3位的数字对响应的请求作出响应。SMTP规定了14条命令和21中应答信息,每条命令有4个字母组成,而每一种应答一般只有一行信息,有一个3位数字的代码开始,后面附上很简单的附加说明。
邮件传送主要包括3个阶段: 建立连接 、 邮件传送 和 终止连接 。
建立连接阶段:
1.当SMTP客户端每隔一定时间对邮件缓存扫描一次,如发现有邮件,就使用SMTP的熟知端口号25与接收方的邮件服务器的SMTP服务器建立TCP连接。
2.接收方SMTP服务器发出“220 Service ready"告诉客户端它已经准备好接收邮件。若服务器未就绪,它就发送代码421(服务器不可用)。
3.客户发送HELO报文,并使用它的域名地址标志自己。目的是:用来把客户的域名通知服务器,值得注意的是, 在TCP的连接建立阶段,发送方和接收方都是通过它们的IP地址来告诉对方的 。(HELO报文是最初的,用户名和密码都不加密。现在改为EHLO,用户名和密码都进行base64编码发送)
4.服务器响应代码250(请求命令完成)或根据情况的其他一些代码。
邮件传送阶段:
在SMTP客户与服务器之间建立连接后,发件人就可以与一个或多个收件人交换单个的报文了。若收件人超过一个,则下面步骤3和步骤4将重复进行。
1.客户发送MAIL FROM报文介绍报文的发送者。它包括发送人的邮件地址(邮箱名和域名,如house@qq)。这个步骤是必要的:因为可以给服务器在返回差错或报文时的返回邮件地址 。
2.服务器响应代码250(请求命令完成)或其他适当的代码。
3.客户发送RCPT(收件人)报文,包括收件人的邮件地址,RCPT命令的作用是 : 先弄清接收方系统是否已经准备好接收邮件的准备,然后才发送邮件,这样做视为了避免浪费通信资源,不至于发送了很长的邮件以后才知道是因地址错误 。
4.服务器响应代码250或其他适当的代码。
5.客户发送DATA报文对报文的传送进行初始化,DATA命令表示要开始传送邮件的内容了。
6.服务器响应代码"354 Start mail input: end with CRLF>.CRLF>"或其他适当的报文(如421 服务器不可用,500 命令无法识别)。
7.客户用连续的行发送报文的内容。每一行的行结束时输入 CRLF>.CRLF> ,即回车换行.回车换行,表示邮件内容结束。
8.服务器响应代码(250 请求命令完成)或其他适当的代码。
值得注意的是:虽然SMTP使用TCP连接试图使邮件的传送可靠,但它并不能保证不丢失邮件。也就是说,使用SMTP传送邮件只能说可以可靠地传送接收方的邮件服务器,在往后的情况就不知道了。接收方的邮件服务器也许会出故障,使收到的服务器全部丢失(在收件人读取信件之前)。
终止连接
在报文传送成功后,客户就终止连接。包括如下步骤:
1.客户发送QUIT命令。
2.服务器响应221(服务关闭)或其他代码。
在连接终止阶段后,TCP连接必须关闭。
注:本文属“合天智汇”原创奖励文章,未经允许,禁止以任何形式转载!
