| | | | | |
澳门新萄京娱乐场www.164.net
下载中心 | 网站舆图 | | 加入收藏蒲京娱乐场网站澳门新萄京娱乐场www.164.net

/ / / / 利用AHQZ网络使用数据阐发仪阐发信标蠕虫beacon_trojan(在53端口的非DNS流量)

2011-02-16 安恒公司 技术部  阅:    下页:
澳门新萄京娱乐场黄页

前些天,安恒公司的工程师去某大学信息安全专业教师处造访,谈天中教师说近来正在为如何阐发木马样本而忧愁。教师经由过程渠道得到了一些病毒木马样本文件,本想经由过程阐发后作为实例用于讲授,但是利用和谈阐发软件后发明,要想利用和谈阐发软件真的分析出个所以然来其实不是那么简朴的!(见图1)
 
图1. 和谈阐发软件的显现

从上图中能够看出,和谈阐发软件显现的是一个一个的数据帧,假如没有对和谈充足的理解和深沉的阐发功底,绝大多数人只能简朴看出源地址、目标地址、源端口、目标端口等少数信息,很难从中找出帧与帧之间的干系,更别说分析出病毒木马等形成的风险和丧失了。

这时候候安恒的工程师简朴引见了一个新的阐发东西—AHQZ网络使用数据阐发仪的状况,借助于它共同的阐发架构,或许能够帮教师处理这个问题。回到单元,将教师给的木马样本文件导入到AHQZ网络使用数据阐发仪,进入它的阐发界面(如图2)。AHQZ网络使用数据阐发仪曾经将样本数据包中的数据根据立体联系关系的方法成立好了阐发索引。在阐发时留意TCP Destination Port中53(domain)会话有7个,UDP Target Port中53(domain)会话有3个,而Service Type中显现DNS会话数目仅为3个。DNS会话数目和53端口下会话数目不一致!阐明在53端口上面躲藏了7个非DNS会话。
澳门新萄京娱乐场黄页 
图2. AHQZ的显现

点击TCP Destination Port中的53(domain)链接,进入下一级阐发界面。看到53端口下的会话数目是7个,而在Service Type中显现为Other数目为7个,阐明没有把这7个会话辨认为DNS服务。这7个会话的源IP地址都是10.10.10.150(见图3)。
葡京88807 
图3

进一步检察这七个会话,点击前面的数字7的链接,进入到会话列表。发明第一个会话14.47KB,而其他的会话只要几百字节。检察一下第一个会话的内容,发明包罗的是长途掌握软件登陆和一些命令行指令(见图4)。
 
图4

很明显10.10.10.150这个IP被入侵了!回到第一级,检察一下10.10.10.150这台机械的所有会话。发现有FTP会话,检察一下行动有put,并且与它联系关系的文件名中有许多带有歹意称号的.exe文件,还有
.rar后缀的文件(见图5)。
www.717111.com 
图5.  10.10.10.150的行动和触及的文件名

       重点存眷一下put,看看到底什么工具保守了?点击put前面的数字,进入到这个会话。发明put了一个名字为exfiltrate.rar的压缩文件(见图6)。
 
图6. “put”的文件

        点击exfiltrate.rar前面的图标,进入到和这个文件有关的会话,发明了以下内容,证实10.10.10.150被入侵后,一些文件被入侵者紧缩后取走(见图7)。
 
蒲京娱乐场网站

图7.


因为教师所给的样本数据包不完全,以是无法进一步阐发到底什么文件被入侵者打包窃走。可是从这个历程中也能够看到AHQZ网络使用数据阐发仪共同的阐发办法和壮大的阐发才能。它经由过程将数据包复原成会话,并根据会话的品种提取出相干的“元数据”,建立起元数据之间的联系关系索引的事情模式,到达快速深化阐发的目标,在网络安全阐发中的结果是和谈阐发软件不能够相比的。

 

35222.comwww.717111.com
下页:   

相干文章
- 10-06-18 - 浏览: 181702
- 10-05-11 - 浏览: 226957
- 10-04-29 - 浏览: 178860
- 10-02-02 - 浏览: 129889
- 09-11-19 - 浏览: 155756
- 09-11-02 - 浏览: 154796
- 07-03-28 - 浏览: 217965
- 06-06-15 - 浏览: 256144
- 04-04-26 - 浏览: 207500
相干产物
- 09-03-15 - 浏览: 712205

版权所有·安恒公司 Copyright © 2004   networktest.anheng.com.cn   All Rights     澳门新萄京娱乐场黄页葡京88807
北京市海淀区首体南路9号 主语国际商务中心4号楼8层 (邮编100048) 电话:010-88018877