记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CapTipper:恶意HTTP流量资源管理器工具

2015-01-16 20:15

分享到:

概述:CapTipper是一款Python工具,可对HTTP恶意流量进行分析、检测及还原。CapTipper设置了一个与PCAP文件服务器作用相同的web服务器,并包含许多内部工具,具有强大的交互控制台用于分析并监控所发现的主机、对象以及会话。

http://hackdig-h.stor.sinaapp.com/pictures/month_1501/201501162015109180.gif

CapTipper为安全研究人员提供便捷的文件及网络流量访问权限,并且这对研究漏洞、前置条件、版本、混淆、插件以及shellcodes来说也是有用的。

将CapTipper中填入驱动流量捕获(例如一个攻击工具包)会为用户显示出所发送的请求URI以及响应的元数据。

用户可浏览http://127.0.0.1(URI)并且将受到的响应发送至浏览器。此外,利用多个命令发布一个用来深入调查的交互shell,这些命令包括hosts、hexdump、info、ungzip、body、client、dump等等。

t016d1d154f05aabe07.png

分析示例

用途:./CapTipper.py <PCAP_file> [web_server_port=80] 

我们分析一下下面的Nuclear EK驱动感染PCAP 2014-11-06-Nuclear-EK-traffic.pcap

t0158ba58c34c23faa0.png

初始化会输出在客户端及服务器之间找到的会话,格式如下:

[ID] : REQUEST URI -> SERVER RESPONSE TYPE (FILENAME) [SIZE IN BYTES]

ID: 分配给特定会话的id

请求URI: 被发送至GET请求服务器的URI

服务器响应类型: 返回服务器相应头信息的内容类型

文件名称: 包含以下内容:

                       1) 响应头信息中的文件名称属性

                       2) 从URI衍生的内容

                       3) 如果找不到以上内容,通过CAPTipper分配

字节大小: 响应主体大小

初始化之后,两件事会发生:

1.      CapTipper创建一个伪web服务器,行为类似pcap中的web服务器

2.      启动一个Interpreter

Interpreter中包含用于进一步调查pcp对象的内部工具。

仅需用对象id输入’open’便可在浏览器中打开一个URI。

t01dbbc77e23317c39d.png

l  实际上没有一个命令(除了‘open’)要求运行服务器。你可以输

入 ’server off’或者在调用CapTipper时添加-s关闭服务器。

我们看一下在不使用浏览器的情况下能够发现什么。

首先,我们通过命令’hosts’对流量有个大概的了解。

t019ef257c5f0974614.png

似乎www.magmedia.com.au是一个被攻陷的站点。

跨过这个信息以及文件类型,我们看到了会话列表,似乎

grannityrektonaver.co.vu是一个被感染的主机。

那什么是pixeltouchstudios.tk?

呃,了解开发工具包通常是如何工作的可能是TDS(流量分配系统)服务器。

我们再仔细看一看。

我们可以输入’head’以及’body’打印出页面的header及body:

t01ecef0e64ecdddcbe.png

l  默认状况下,body命令返回前256字节,你可输入body 2 1000进行

修改,它可打印出前1000个字节。

我们看到,对象2向被感染的主机返回一个302 redirection。

所以,我们的假设很有可能是正确的。

我们输入info获取更多关于object 2的信息:

t01312389817587e1bd.png

那个页面推荐的当然是magmedia.co.au,那么我们实际上被导向哪里了呢?

通过对会话的观察,它可能把我们导向检索页或者javascript文件。

我们来快速看一下这个javascript文件(object 1)

t01f98c88ac8513690e.png

嗯……发生了什么?我们来看一下头信息

t015a95fbf802897f0f.png

这个响应是个压缩程序。

我们解压一下:

t016cd8ff7bce98f372.png

太好了。创建了一个新的对象(15)。

我们看看。

t018c4545868480a3db.png

那么,这是JS文件的压缩版本。

记住,我们想知道是什么把我们导至TDS的,但我们完全可以认为它是一个内嵌框架,所以我们可以通过命令iframes来搜索这个新对象中的内嵌框架.

t0180b08544aa06988e.png

好了。攻击者植入/修改了这个javascript并且将用户发送至TDS。

现在,我们来看一下感染服务器中的文件。

再次输入’convs’会显示如下会话:

t0166fb0e1d5e39e03d.png

看看,我们都得到了些什么东西…….

貌似我们有1个PDF文件,2个SWF文件以及4个EXE文件,这些可能是由shellcode下载的。

我们可以将所有的文件放入一个文件夹并且通过’dump’函数来进一步检查,可以添加-e以便不会转储EXE文件,这样就不会误发布。

t0132259e2235a22d85.png

正如你看到的那样,它同时会将新建的压缩javascript文件进行转储。

同时,我们可以利用CapTipper对文件进行检查。

让我们通过hexdump来看一看第一个SWF文件。

t01c993fe91ff518f66.png

我们再来看一看第二个:

t01058c10ce474254ee.png

有意思的东西出现了。这个文件开始使用PK魔字节(magic bytes),这意味着它实际上是一个压缩文件,它可以由几个东西组成。

输入命令’ziplist’来看一看压缩文件里面的文件

t016ef8004f35e26210.png

看起来,是一个真正的Silverlight利用。

现在,我们用它真正的扩展进行转储:

t01c0c701636a62adad.png

同时,我们将文件的md5哈希发送至VirusTotal来看一下它是否被任何杀毒提供商认出来,输入命令’vt’。

这些需要一个VirusTotal API公钥。

(文件本身没有发送至VT,只有文件的哈希被发送!)

t01b0ee646204e435bf.png

我们发现,大多杀毒软件将这个文件定义为恶意文件,而且一些杀毒软件甚至提供了利用CVE(2013-0074)。

如果你没有VirusTotal API公钥,你可以使用命令hashes并手动将这个哈希发送至VirusTotal。

可从GitHub上获取CapTipepr: https://github.com/omriher/CapTipper

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:http://www.omriher.com/2015/01/captipper-malicious-http-traffic.html

知识来源: bobao.360.cn/learning/detail/213.html

阅读:99073 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“CapTipper:恶意HTTP流量资源管理器工具”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云