高考資通安全類科─資通安全防護技術講義(20241231)
說明如何利用 Wireshark 和 VirusTotal 偵測並分析惡意網路活動,並舉例說明可能的惡意行為特徵。
答案:
利用 Wireshark 和 VirusTotal 偵測並分析惡意網路活動的步驟如下:
1.使用 Wireshark 擷取網路流量: Wireshark 是一款開源的網路封包分析軟體,可以捕捉並分析網路上的封包數據。設定 Wireshark 擷取特定網路介面上的流量,例如無線網路介面或乙太網路介面,並將封包數據儲存為檔案以便後續分析。
2.篩選可疑流量: 使用 Wireshark 的篩選功能,可以根據 IP 位址、通訊埠、通訊協定等條件,篩選出可能與惡意活動相關的流量。例如,可以使用篩選器 ip.addr == 192.168.1.1 and tcp.port == 80 來篩選出所有來自 IP 位址 192.168.1.1 且使用 TCP 通訊埠 80 的封包。
3.分析可疑封包: 檢查篩選出的封包內容,尋找可能的惡意行為特徵。例如,檢查 HTTP 封包的標頭和內容,尋找可疑的 URL、惡意程式碼或其他異常數據。
4.使用 VirusTotal 檢查可疑 IP 位址和檔案雜湊值: VirusTotal 是一個線上服務,可以利用多種防毒引擎掃描檔案和 URL,檢查是否存在惡意軟體。將 Wireshark 分析中發現的可疑 IP 位址或檔案雜湊值提交至 VirusTotal,檢查其信譽和潛在威脅。
可能的惡意行為特徵:
●頻繁連線至已知的惡意 IP 位址或網域: 惡意程式可能試圖連線至其控制伺服器(C2)以接收指令或傳送竊取的數據。
●不正常的網路流量模式: 例如,突然的大量數據傳輸、不尋常的通訊埠使用、或與已知惡意程式相關的流量模式。
●可疑的封包內容: 例如,包含惡意程式碼、加密的數據、或試圖利用系統漏洞的程式碼。
●VirusTotal 檢測結果: 如果 VirusTotal 檢測到可疑的 IP 位址或檔案雜湊值具有惡意軟體特徵,則應將其視為高風險。
範例:
在 Wireshark 擷取的網路流量中,發現一台設備頻繁連線至一個 IP 位址 239.255.255.250,並使用 UDP 通訊埠 1900。進一步分析發現,該設備持續向此 IP 位址發送 SSDP 請求,但未收到任何回應。將此 IP 位址提交至 VirusTotal 檢查,結果顯示多個防毒引擎將其標記為惡意,並與 DDOS 攻擊相關。根據這些資訊,可以合理推斷該設備可能受到惡意軟體感染,並參與了 DDOS 攻擊。
總結:
Wireshark 和 VirusTotal 是偵測和分析惡意網路活動的強大工具。透過分析網路流量、檢查可疑特徵、並利用線上威脅情報服務,可以有效識別和應對網路安全威脅。
