Tryhackme-Masterminds挑战房间
字数 1118 2025-08-10 20:57:54

TryHackMe Masterminds 挑战房间流量分析教学文档

1. 简介

本教学文档基于TryHackMe平台的Masterminds挑战房间,专注于网络流量分析技术。使用Brim工具分析PCAP文件,识别网络攻击行为。

2. 工具准备

  • Brim: 新一代网络流量分析工具
  • VirusTotal: 恶意软件分析平台
  • URLhaus: 恶意URL数据库

3. 感染分析

3.1 感染1分析

受害者IP地址

192.168.75.249

可疑HTTP连接(404状态)

_path=="http" status_code==404
  • 可疑域名:
    • cambiasuhistoria.growlab.es
    • www.letscompareonline.com

成功的HTTP连接

id.orig_h==192.168.75.249 _path=="http" response_body_len==1309
  • 域名: cab[.]myfkn[.]com
  • 目标IP: 从响应中提取

唯一DNS请求统计

_path=="dns" query=="CAB.MYKFN.COM" or query=="cab.mykfn.com" | count() by query

访问的URI

id.orig_h==192.168.75.249 _path=="http" host=="bhaktivrind.com"

恶意服务器和可执行文件

id.orig_h==192.168.75.249 _path=="http" uri matches *.exe
  • 恶意软件名称(通过VirusTotal确认): Emotet

3.2 感染2分析

受害者IP地址

192.168.75.146

POST连接分析

id.orig_h==192.168.75.146 _path=="http" method=="POST" | cut id.resp_h

POST连接数量

id.orig_h==192.168.75.146 _path=="http" method=="POST" | count()

二进制文件下载域

id.orig_h==192.168.75.146 _path=="http" method=="GET"

二进制文件URI

id.orig_h==192.168.75.146 _path=="http" method=="GET" | cut uri

托管域IP地址

id.orig_h==192.168.75.146 _path=="http" method=="GET" | cut id.resp_h

Suricata警报分析

  • 警报类型: "A Network Trojan was detected"
  • 源IP和目标IP: 从警报中提取

窃取程序识别

_path=="http" host matches *.top
  • 通过URLhaus确认: RedLine Stealer

3.3 感染3分析

受害者IP地址

192.168.75.232

C2域(按时间顺序)

id.orig_h==192.168.75.232 _path=="http" method=="GET"

C2域IP地址

id.orig_h==192.168.75.232 _path=="http" method=="GET" | cut id.resp_h

DNS查询统计

_path=="dns" id.orig_h==192.168.75.232 query=="xfhoahegue.ru" | count() by query

二进制文件下载总数

_path=="http" | cut id.orig_h, id.resp_h, id.resp_p, method,host, uri | uniq -c

用户代理

检查"user_agent"列

DNS连接总数

_path=="dns" | count() by _path

蠕虫名称识别

通过OSINT搜索第一个域(不含.ru): 确认蠕虫名称

4. 关键分析技巧

  1. 基础过滤:

    • 使用_path=="protocol"过滤特定协议流量
    • 使用id.orig_h==IP过滤特定源IP

  2. HTTP分析:

    • status_code==404查找失败连接
    • method=="GET"method=="POST"过滤请求类型
    • uri matches *.exe查找可执行文件下载

  3. DNS分析:

    • query=="domain"查找特定域名查询
    • count() by query统计查询次数

  4. 数据提取:

    • 使用cut命令提取特定字段
    • 使用uniq -c统计唯一值

  5. 威胁情报整合:

    • 使用VirusTotal分析恶意软件
    • 使用URLhaus查询恶意域名

5. 总结

通过本练习,我们掌握了:

  1. 使用Brim进行网络流量分析的基本方法
  2. 识别恶意网络活动的关键指标
  3. 结合外部威胁情报平台确认威胁
  4. 系统化分析网络攻击链的方法

关键是要理解攻击者的行为模式,并通过适当的过滤和统计方法从海量数据中提取有价值的信息。

TryHackMe Masterminds 挑战房间流量分析教学文档 1. 简介 本教学文档基于TryHackMe平台的Masterminds挑战房间,专注于网络流量分析技术。使用Brim工具分析PCAP文件,识别网络攻击行为。 2. 工具准备 Brim : 新一代网络流量分析工具 VirusTotal : 恶意软件分析平台 URLhaus : 恶意URL数据库 3. 感染分析 3.1 感染1分析 受害者IP地址 可疑HTTP连接(404状态) 可疑域名: cambiasuhistoria.growlab.es www.letscompareonline.com 成功的HTTP连接 域名: cab[ .]myfkn[ . ]com 目标IP: 从响应中提取 唯一DNS请求统计 访问的URI 恶意服务器和可执行文件 恶意软件名称(通过VirusTotal确认): Emotet 3.2 感染2分析 受害者IP地址 POST连接分析 POST连接数量 二进制文件下载域 二进制文件URI 托管域IP地址 Suricata警报分析 警报类型: "A Network Trojan was detected" 源IP和目标IP: 从警报中提取 窃取程序识别 通过URLhaus确认: RedLine Stealer 3.3 感染3分析 受害者IP地址 C2域(按时间顺序) C2域IP地址 DNS查询统计 二进制文件下载总数 用户代理 检查"user_ agent"列 DNS连接总数 蠕虫名称识别 通过OSINT搜索第一个域(不含.ru): 确认蠕虫名称 4. 关键分析技巧 基础过滤 : 使用 _path=="protocol" 过滤特定协议流量 使用 id.orig_h==IP 过滤特定源IP HTTP分析 : status_code==404 查找失败连接 method=="GET" 或 method=="POST" 过滤请求类型 uri matches *.exe 查找可执行文件下载 DNS分析 : query=="domain" 查找特定域名查询 count() by query 统计查询次数 数据提取 : 使用 cut 命令提取特定字段 使用 uniq -c 统计唯一值 威胁情报整合 : 使用VirusTotal分析恶意软件 使用URLhaus查询恶意域名 5. 总结 通过本练习,我们掌握了: 使用Brim进行网络流量分析的基本方法 识别恶意网络活动的关键指标 结合外部威胁情报平台确认威胁 系统化分析网络攻击链的方法 关键是要理解攻击者的行为模式,并通过适当的过滤和统计方法从海量数据中提取有价值的信息。