HANCITOR – تجزیه و تحلیل ترافیک – SOL-LIGHTNET

ek3nk4r 2024-06-13

0 0 خواندن این مطلب 2 دقیقه زمان میبرد

پیشنهاد ویژه

خرید فالوور واقعی خرید لایک اینستاگرام خرید ویو اینستاگرام خرید فالوور اینستاگرام

فهرست مطالب

بیا شروع کنیم:

دانلود فایل Capture و درک تکلیف

فایل pcap. را از PCAP دانلود کنید
با دستورالعمل های تکلیف آشنا شوید.

داده های بخش LAN:

محدوده بخش LAN: 10.20.30[.]0/24 (10.20.30[.]0 تا 10.20.30[.]255)
دامنه: sol-lightnet[.]com
کنترل کننده دامنه: 10.20.30[.]2 – Sol-Lightnet-DC
دروازه سگمنت LAN: 10.20.30[.]1
آدرس پخش بخش LAN: 10.20.30[.]255

وظیفه ما:

بر اساس pcap و هشدارها گزارش حادثه بنویسید.
گزارش حادثه باید حاوی موارد زیر باشد:
خلاصه اجرایی
جزئیات (میزبان ویندوز آلوده)
شاخص های سازش (IOCs).

تجزیه و تحلیل ترافیک شبکه با فیلترهای اصلی:

Filter: `(http.request || tls.handshake.type eq 1) && !(ssdp)`

پورت 80 49.51.133.162 – gengrasjeepram.com – GET /sv.exe
به نظر می رسد این درخواست برای دانلود یک فایل اجرایی (sv.exe) از دامنه gengrasjeepram.com باشد. با تجزیه و تحلیل محتوای بسته، این یک فایل اجرایی و زمینه است، به طور بالقوه مخرب است. پس از تحقیقات، مرتبط با بدافزار Hancitor.

پورت 80 – api.ipify.org – GET /
به نظر می رسد این یک درخواست از api.ipify.org است، که یک سرویس قانونی برای بررسی آدرس IP عمومی یک دستگاه است. نشانی IP عمومی میزبان در معرض خطر را نشان می دهد.

81.177.6.156 پورت 80 – twereptale.com – POST /4/forum.php
81.177.6.156 پورت 80 – twereptale.com – POST /mlu/forum.php
81.177.6.156 پورت 80 – twereptale.com – POST /d2/about.php
اینها درخواست های POST به نقاط پایانی مختلف در دامنه twereptale.com هستند. ماهیت تکراری نشان دهنده فعالیت مخرب بالقوه است، احتمالاً اطلاعات سیستم یا سایر داده ها را به سرور ارسال می کند.

پورت 80 148.66.137.40 – xolightfinance.com – GET /bhola/images/1
پورت 80 148.66.137.40 – xolightfinance.com – GET /bhola/images/2
اینها درخواست هایی برای بازیابی فایل های تصویری از دامنه xolightfinance.com هستند. در حالی که ممکن است خود فایل‌ها مخرب نباشند، این واقعیت که از یک دامنه بالقوه مخرب درخواست می‌شوند، باعث ایجاد شک می‌شود.

هیچ شاخص دیگری از فعالیت های مخرب یافت نشد.

برای درک عمیق تر بدافزار Hancitor و ترافیک آلوده به آن، مقاله روشنگر برد دانکن در مورد واحد 42: بررسی ترافیک از عفونت های Hancitor را مطالعه کنید.

گزارش نهایی:

خلاصه اجرایی
در روز پنجشنبه 30-01-2020 در ساعت 00:55 UTC، یک کلاینت ویندوز 10 که توسط Alejandrina Hogue استفاده می شد به بدافزار Hancitor آلوده شد.

جزئیات
نام میزبان: DESKTOP-4C02EMG
آدرس MAC میزبان: 58:94:6b:77:9b:3c (IntelCor_77:9b:3c)
آدرس IP میزبان: 10.20.30.227
نام حساب کاربری: alejandrina.hogue

شاخص های سازش (IOC)
پورت 80 49.51.133.162 – gengrasjeepram.com – GET /sv.exe
هش SHA256: 995cbbb422634d497d65e12454cd5832cf1b4422189d9ec06efa88ed56891cda

پورت 80 – api.ipify.org – GET /
81.177.6.156 پورت 80 – twereptale.com – POST /4/forum.php
81.177.6.156 پورت 80 – twereptale.com – POST /mlu/forum.php
81.177.6.156 پورت 80 – twereptale.com – POST /d2/about.php
پورت 80 148.66.137.40 – xolightfinance.com – GET /bhola/images/1
پورت 80 148.66.137.40 – xolightfinance.com – GET /bhola/images/2