Этот отчет представляет собой анализ сетевого трафика с использованием Wireshark и Suricata. Данные были проанализированы для расследования потенциальных вредоносных активностей, включая троян Trickbot, эксплойт EternalBlue и DNS-туннелирование.
- Описание: Инструмент отслеживания потока HTTP Wireshark фиксирует HTTP GET-запрос на файл
DD05Ce3a-9c9-4818-8252-d579eedle676.zip. Статус запроса —200 OK, размер файла — 3566 байт, сервер — Apache. - Анализ: Успешная загрузка ZIP-файла с сайта
www.dchristjan.comможет указывать на начальный вектор доставки вредоносного ПО, такого как Trickbot. User-Agent (Mozilla/5.0 (Windows NT 6.1)) соответствует системам, часто являющимся мишенями атак. - Значимость: Этот запрос может быть первым шагом в цепочке заражения.
- Описание: Захваченный трафик показывает HTTP-запросы, включая
GET /download/update_3/studio/trusted/en/authorstool.cabиPOST /Yon10/.... - Анализ: Запросы к подозрительным URL и имя файла указывают на активность Trickbot, включая возможную коммуникацию с C2-сервером.
- Значимость: Подтверждает наличие вредоносного трафика в сети.
- Описание: Отфильтрованный вид (
ip.addr == 144.91.69.195 and http.request) показывает запросGET /solar.php HTTP/1.1. - Анализ: Целевой запрос с конкретного IP может быть связан с доставкой вредоносного ПО.
- Значимость: Выделяет подозрительные точки взаимодействия в сети.
- Описание: Запрос
GET /solar.phpприводит к загрузке файлаphn3dycjthgm.exe(739,608 байт) с кастомным User-Agent. - Анализ: Загрузка EXE-файла с обфусцированным User-Agent — явный признак доставки вредоносного ПО, вероятно Trickbot.
- Значимость: Критическая находка, требующая немедленного реагирования.
- Описание: Захват TLSv1-рукопожатия между
187.58.56.26и10.9.25.101. - Анализ: В контексте Trickbot вызывает подозрения.
- Значимость: Требует проверки на маскировку вредоносного ПО.
- Описание: POST-запрос к
nytimes.com/randybachman/p%s%wordsс полемchrome_passwords. - Анализ: Указывает на потенциальное хищение учетных данных, характерное для Trickbot.
- Значимость: Высокий риск утечки данных.
- Описание: Файл
suricata.rulesсодержит правила для обнаружения активностей Trickbot, таких как эксфильтрация данных и загрузки. - Анализ: Правила настроены для эффективного мониторинга угроз.
- Значимость: Усиливает защиту сети.
- Описание: Проверка корректности правил:
sudo suricata -T -c /etc/suricata/suricata.yaml. Запуск анализа дампа:sudo suricata -c /etc/suricata/suricata.yaml -r archive/2019-09-25-Trickbot-gtag-ono19-infection-traffic.pcap. - Анализ: Правила корректны, анализ дампа выполнен.
- Значимость: Усиливает защиту сети.
- Описание: Лог фиксирует более 115 предупреждений "TROJAN Trickbot - Suspicious TLS Connection".
- Анализ: Указывает на активность C2-сервера Trickbot.
- Значимость: Подтверждает наличие угрозы.
- Описание: Успешная настройка SMB-сессии (
Session Setup AndX Response). - Анализ: Может быть связано с эксплуатацией EternalBlue.
- Значимость: Указывает на уязвимость системы.
- Описание: Проверка корректности правил:
sudo suricata -T -c /etc/suricata/suricata.yaml. Запуск анализа дампа:sudo suricata -c /etc/suricata/suricata.yaml -r archive/eternalblue-win7-без_патчей_упешно.pcap. - Анализ: Правила корректны, анализ дампа выполнен.
- Значимость: Усиливает защиту сети.
- Описание: Этот скриншот из Wireshark показывает DNS-трафик.
- Список пакетов: DNS-запросы к доменам .pirate.sea.
- Статистика: 424 запроса (48,85%), 424 ответа, из файла dns-tunnel-iodine.pcap.
- Анализ: Очевидно использование DNS-туннелирования, распространенной техники вредоносного ПО.
- Описание: Анализ PCAP-файла выявил 444 предупреждения "Suspicious DNS Domain Length".
- Анализ: Подтверждает DNS-туннелирование как метод эксфильтрации.
- Значимость: Серьезная угроза безопасности.
Анализ выявил сложный сценарий атаки, включающий следующие угрозы:
- Trickbot: Доставка через ZIP- и EXE-файлы, подозрительные TLS- и HTTP-запросы, хищение данных.
- EternalBlue: Успешные SMB-сессии указывают на возможную эксплуатацию.
- DNS-туннелирование: Обнаружено как метод эксфильтрации данных.