一、正常報文排查

一次抓包，可能會有幾萬個報文，熟練地使用過濾功能，可以快速定位到需要分析的內容。在這裏過濾http報文，直接對http報文進行分析。

1.1查看請求包

第一個http是訪問 http://www.msftncsi.com/ncsi.txt 。

由於無法判斷URL的安全性，可以根據URL查詢威脅情報庫，看看是否爲惡意URL。根據雲沙箱分析爲安全。基本可以判斷是安全的網站。

1.2查看返回包

也可以查看返回包的報文，通過返回結果判斷。這個報文返回的只有一句Microsoft NCSI，不像是惡意網站。

直接訪問網站，網頁也確實只有一句話。該操作建議在沙箱環境執行，以免連接到惡意網站。

1.3藉助網絡知識庫排查

一個人的知識是有限，因此我們需要藉助網絡的力量，如百度等；通過在網上查詢，可發現該網站是微軟用來測試網絡連接情況的，證明其爲安全的訪問。

二、可疑文件傳輸報文排查

由於我們是要對病毒入侵進行分析，應該先從包含文件傳輸的報文開始。因此可直接看由外網進入內網的報文，查找包含文件傳輸的報文。

2.1文件傳輸報文

通過排查發現第一個文件傳輸報文，報文中包含了一個2018_11Details_zur_Transaktion.doc文件

2.2 查看請求包

查看對應的請求包，發現文件下載的URL: http://ifcingenieria.cl/QpX8It/BIZ/Firmenkunden/

根據訪問地址，暫時無法判斷是否爲惡意網站。在這裏可以藉助URL威脅情報庫確定。根據雲沙箱分析該URL是可疑網站。

2.3導出文件

可以直接在文件傳輸包中使用導出分級字節流的功能導出報文中的文件。

2.4分析文件

把導出的文件放到雲沙箱上進行檢測。發現文件爲惡意文件Firmenkunden。

閱讀檢測結果，分析惡意文件的行爲。

在檢測報告中的低危行爲中可以發現存在網絡相關的行爲，該惡意文件會訪問timlinger.com（IP：216.37.42.32）。因此，可以通過流量包中是否包含與該地址的連接來判定惡意文件是否已經運行。

2.5根據網絡行爲分析是否執行成功

繼續分析流量包，在流量包中可以發現與216.37.42.32的通信，可以斷定該惡意文件已經運行。

查看通信內容，發現惡意文件Firmenkunden訪問timlinger.com，與雲沙箱的分析報告中的網絡行爲一致。

三、第二個可疑文件

由訪問timlinger.com的返回包可知，下載了另一個文件6169583.exe

3.1分析文件

把文件導出，然後放到雲沙箱檢測。該文件爲惡意文件。

由威脅情報可知，該惡意文件也會訪問一些IP地址。

3.2根據網絡行爲分析是否執行成功

發現與24.206.17.102的網絡通信

發現與67.43.253.189的網絡通信

通過其網絡行爲可知，文件已經被執行。

3.3使用追蹤流查看完整對話

使用追蹤流進行http報文分析

這個返回包都是亂文，本人技術有限，就不分析了。

四、防禦手段

4.1確實受攻擊的範圍

通過查看網絡通信情況確認範圍，把存在病毒網絡行爲的計算機列爲受攻擊的計算機。

4.2遏制病毒擴散

把受攻擊的計算機斷網，防止病毒進一步傳播。

4.3清除病毒

使用防病毒軟件對受害主機進行全盤掃描。確保清除下載的惡意文件（2018_11Details_zur_Transaktion.doc、6169583.exe），以及下載後釋放的文件（473.exe、nirmalacolorer.exe等）、刪除服務nirmalacolorer。

4.4預防

(1)安裝防病毒軟件，及時更新。
(2)使用防病毒安全網關，防止病毒進入內網。
(3)在防火牆上設置網絡策略，禁止與病毒相關的IP進行通信。
(4)安全教育，提高員工的網絡安全意識，不要隨意點擊來路不明的網址等。

五、總結

本文主要講述針對流量包的分析，一些簡單的Wireshark使用技巧：過濾、文件導出、追蹤流，以及威脅情報的解讀。

六、參考

Win 7 NCSI判斷機制： https://answers.microsoft.com/zh-hans/windows/forum/windows_7-networking/win-7-ncsi%E5%88%A4%E6%96%AD%E6%9C%BA%E5%88%B6/ff8e279a-5f08-4279-ad20-7a47fd89f977

微步雲沙箱分析報告-Firmenkunden： https://s.threatbook.cn/report/file/09ebe4229a74cdb1212671e6391742cc6bee387bf14da02974b07857b27f9223/?sign=history&env=win7_sp1_enx86_office2013

微步雲沙箱分析報告- 6169583.exe： https://s.threatbook.cn/report/file/69e731afb5f27668b3a77e19a15e62cce84e623404077a8563fcf61450d8b741/?sign=history&env=win7_sp1_enx86_office2013

*本文作者：GalaxyLu，轉載請註明來自FreeBuf.COM