Вы находитесь на странице: 1из 9

Лабораторная работа.

Извлечение исполняемого файла из


PCAP
Задачи
Часть 1. Подготовка виртуальной среды
Часть 2. Анализ предварительно записанных журналов и перехватов трафика

Общие сведения и сценарий


Просмотр журналов играет большую роль, но не менее важно также понимание выполнения сетевых
транзакций на уровне пакетов.
В этой лабораторной работе вы будете анализировать трафик в ранее перехваченном файле pcap
и извлекать исполняемый файл из файла.

Необходимые ресурсы
• Виртуальная машина рабочей станции CyberOps
• Интернет-подключение

Часть 1: Подготовка виртуальной среды


a. Запустите Oracle VirtualBox. Щелкните правой кнопкой мыши ВМ CyberOps Workstion (CyberOps
Workstation) и выберите в меню Settings (Параметры) > Network (Сеть). В разделе Attached To
(Присоединен к) выберите Bridged Adapter (Мостовой адаптер) при необходимости и щелкните OK.
b. Войдите в виртуальную машину CyberOps Workstation (имя пользователя: analyst и пароль:
cyberops), откройте терминал и запустите сценарий configure_as_dhcp.sh.
[analyst@secOps ~] $ sudo./lab.support.files/scripts/configure_as_dhcp.sh
[sudo] пароль для analyst:
[analyst@secOps ~]$

Часть 2: Анализ предварительно записанных журналов и перехватов


пакетов трафика
В части 2 вы будете работать с файлом nimda.download.pcap. Записанный в ходе предыдущей
лабораторной работы файл nimda.download.pcap содержит пакеты, связанные с загрузкой
вредоносного ПО Nimda. Собственная версия файла, если вы создали его в ходе предыдущей
лабораторной работы и не импортировали повторно на свою ВМ CyberOps Workstation, хранится
в каталоге /home/analyst. Однако копия этого файла также хранится на ВМ CyberOps Workstation
в каталоге /home/analyst/lab.support.files/pcaps, поэтому можно выполнить эту лабораторную работу
независимо от выполнения предыдущей работы. Для согласованности выходных данных эта
лабораторная работа использует версию, сохраненную в каталоге pcaps.
Для анализа записанных файлов можно использовать утилиту tcpdump, но графический интерфейс
Wireshark значительно упрощает задачу. Также важно отметить, что tcpdump и Wireshark используют
один и тот же формат файла для перехватов пакетов. Таким образом, файлы PCAP, созданные
в одном инструменте, также можно открыть и в другом.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 1 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

a. Смените текущий каталог на папку lab.support.files/pcaps и выведите список файлов с помощью


команды ls –l.
[analyst@secOps ~]$ cd lab.support.files/pcaps
[analyst@secOps pcaps]$ ls -l
total 7460
-rw-r--r-- 1 analyst analyst 3510551 Aug 7 15:25 lab_prep.pcap
-rw-r--r-- 1 analyst analyst 371462 Jun 22 10:47 nimda.download.pcap
-rw-r--r-- 1 analyst analyst 3750153 May 25 11:10 wannacry_download_pcap.pcap
[analyst@secOps pcaps]$
b. Выполните следующую команду, чтобы открыть файл nimda.download.pcap в программе
Wireshark.
[analyst@secOps pcaps] $ wireshark-gtk nimda.download.pcap

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 2 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

c. Файл nimda.download.pcap содержит перехваченные данные пакетов, связанных с загрузкой


вредоносного ПО из предыдущей лабораторной работы. Pcap содержит все пакеты, отправленные
и полученные во время работы tcpdump. Выберите в данных перехвата четвертый пакет
и разверните раздел протокола HTTP, как показано ниже.

d. Пакеты 1–3 — это квитирование TCP. Четвертый пакет показывает запрос на файл вредоносного
ПО. В подтверждение полученных данных этот запрос был отправлен по протоколу HTTP в виде
запроса GET.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 3 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

e. Поскольку HTTP работает через TCP, можно использовать функцию WiresharkFollow TCP Stream
(Отслеживать поток TCP) для восстановления этой транзакции TCP. Выберите в перехваченных
данных первый пакет TCP — пакет SYN. Щелкните его правой кнопкой мыши и выберите Follow
TCP Stream (Отслеживать поток TCP).

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 4 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

f. Wireshark откроет другое окно, содержащее сведения для всего выбранного потока TCP.

Какие все символы отображаются в окне Follow TCP Stream (Отслеживать поток TCP)?
Являются ли они шумом подключения? Для передачи данных? Дайте пояснение.
____________________________________________________________________________________
____________________________________________________________________________________
Среди этих символов видны несколько читаемых слов. Почему они там присутствуют?
____________________________________________________________________________________
____________________________________________________________________________________
Контрольный вопрос: несмотря на имя W32. Nimda.Amm.exe, этот исполняемый файл не
является известным интернет-червем. Для того чтобы не подвергать систему опасности, это
другой исполняемый файл, сохраненный под именем W32. Nimda.Amm.exe. С помощью

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 5 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

фрагментов слов, отображаемых в окне Wireshark Follow TCP stream (Отслеживать поток TCP),
можно ли определить, какой именно это исполняемый файл?
____________________________________________________________________________________
____________________________________________________________________________________
g. Нажмите кнопку Close (Закрыть) в окне Follow TCP stream (Отслеживать поток TCP) для возврата
к файлу Wireshark nimda.download.pcap.

Часть 3: Извлечение загруженных файлов из PCAPS


Поскольку файлы перехвата содержат все пакеты, связанные с трафиком, по файлу PCAP какой-либо
загрузки можно получить ранее загруженный файл. Выполните следующие действия для извлечения
вредоносного ПО Nimda с помощью программы Wireshark.
a. В этом четвертом пакете в файле nimda.download.pcap обратите внимание, что HTTP-запрос был
создан из адреса 209.165.200.235 на адрес 209.165.202.133. В столбце Info также показано, что на
самом деле это запрос GET для файла.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 6 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

b. С выбранным пакетом запроса GET перейдите к File > Export Objects > HTTP (Файл >
Экспортировать объекты > HTTP) из менюWireshark.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 7 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

c. Wireshark будет отображать все объекты HTTP в потоке TCP, которые содержат запрос GET.
В данном случае в данных перехвата присутствует файл W32. Nimda.Amm.exe. Файл отобразится
в течение нескольких секунд.

Почему W32. Nimda.Amm.exe является единственным файлом в данных перехвата?


____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
d. В окне HTTP object list (Список объектов HTTP) выберите файл W32. Nimda.Amm.exe
и щелкните Save As (Сохранить как) в нижней части экрана.

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 8 из 9 www.netacad.com
Лабораторная работа. Извлечение исполняемого файла из PCAP

e. Нажимайте кнопку со стрелкой влево, пока не появится кнопка Home (Домой). Щелкните Home
(Домой) и выберите папку analyst (не вкладку analyst). Сохраните файл здесь.
f. Вернитесь в окно терминала и убедитесь, что файл был сохранен. Перейдите в папку
/home/analyst и выведите список всех файлов в папке, используя команду ls -l.
[analyst@secOps pcaps]$ cd /home/analyst
[analyst@secOps ~]$ ls –l
total 364
drwxr-xr-x 2 analyst analyst 4096 Sep 26 2014 Desktop
drwx------ 3 analyst analyst 4096 May 25 11:16 Downloads
drwxr-xr-x 2 analyst analyst 4096 May 22 08:39 extra
drwxr-xr-x 8 analyst analyst 4096 Jun 22 11:38 lab.support.files
drwxr-xr-x 2 analyst analyst 4096 Mar 3 15:56 second_drive
-rw-r--r-- 1 analyst analyst 345088 Jun 22 15:12 W32.Nimda.Amm.exe
[analyst@secOps ~]$
Был ли сохранен файл? ____________________________________
g. Команда file предоставляет информацию о типе файла. Используйте команду file для получения
дополнительной информации о вредоносном ПО, как показано ниже.
[analyst@secOps ~]$ file W32.Nimda.Amm.exe
W32.Nimda.Amm.exe: PE32+ executable (console) x86-64, for MS Windows
[analyst@secOps ~]$
Как показано выше, W32. Nimda.Amm.exe — это действительно исполняемый файл Windows.
Каким может быть следующий шаг аналитика безопасности в процессе анализа данного
вредоносного ПО?
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________
____________________________________________________________________________________

 Cisco и/или ее дочерние компании. Все права защищены.


Конфиденциальная информация корпорации Cisco Стр. 9 из 9 www.netacad.com