CapTipper：惡意HTTP流量資源管理器工具

CapTipper是一款Python工具，可對HTTP惡意流量進行分析、檢測及還原。CapTipper設置了一個與PCAP文件服務器作用相同的web服務器，并包含許多內部工具，具有強大的交互控制臺用于分析并監控所發現的主機、對象以及會話。

CapTipper為安全研究人員提供便捷的文件及網絡流量訪問權限，并且這對研究漏洞、前置條件、版本、混淆、插件以及shellcodes來說也是有用的。

將CapTipper中填入驅動流量捕獲（例如一個攻擊工具包）會為用戶顯示出所發送的請求URI以及響應的元數據。

用戶可瀏覽http://127.0.0.1（URI）并且將受到的響應發送至瀏覽器。此外，利用多個命令發布一個用來深入調查的交互shell，這些命令包括hosts、hexdump、info、ungzip、body、client、dump等等。

分析示例

用途：./CapTipper.py <PCAP_file> [web_server_port=80] 

我們分析一下下面的Nuclear EK驅動感染PCAP 2014-11-06-Nuclear-EK-traffic.pcap

初始化會輸出在客戶端及服務器之間找到的會話，格式如下：

[ID] : REQUEST URI -> SERVER RESPONSE TYPE (FILENAME) [SIZE IN BYTES]

ID: 分配給特定會話的id

請求URI: 被發送至GET請求服務器的URI

服務器響應類型: 返回服務器相應頭信息的內容類型

文件名稱: 包含以下內容：

                       1) 響應頭信息中的文件名稱屬性

                       2) 從URI衍生的內容

                       3) 如果找不到以上內容，通過CAPTipper分配

字節大小: 響應主體大小

初始化之后，兩件事會發生：

1.      CapTipper創建一個偽web服務器，行為類似pcap中的web服務器

2.      啟動一個Interpreter

Interpreter中包含用于進一步調查pcp對象的內部工具。

僅需用對象id輸入’open’便可在瀏覽器中打開一個URI。

l  實際上沒有一個命令（除了‘open’）要求運行服務器。你可以輸

入 ’server off’或者在調用CapTipper時添加-s關閉服務器。

我們看一下在不使用瀏覽器的情況下能夠發現什么。

首先，我們通過命令’hosts’對流量有個大概的了解。

似乎www.magmedia.com.au是一個被攻陷的站點。

跨過這個信息以及文件類型，我們看到了會話列表，似乎

grannityrektonaver.co.vu是一個被感染的主機。

那什么是pixeltouchstudios.tk？

呃，了解開發工具包通常是如何工作的可能是TDS（流量分配系統）服務器。

我們再仔細看一看。

我們可以輸入’head’以及’body’打印出頁面的header及body：

l  默認狀況下，body命令返回前256字節，你可輸入body 2 1000進行

修改，它可打印出前1000個字節。

我們看到，對象2向被感染的主機返回一個302 redirection。

所以，我們的假設很有可能是正確的。

我們輸入info獲取更多關于object 2的信息：

那個頁面推薦的當然是magmedia.co.au，那么我們實際上被導向哪里了呢？

通過對會話的觀察，它可能把我們導向檢索頁或者javascript文件。

我們來快速看一下這個javascript文件（object 1）

嗯……發生了什么？我們來看一下頭信息

這個響應是個壓縮程序。

我們解壓一下：

太好了。創建了一個新的對象（15）。

我們看看。

那么，這是JS文件的壓縮版本。

記住，我們想知道是什么把我們導至TDS的，但我們完全可以認為它是一個內嵌框架，所以我們可以通過命令iframes來搜索這個新對象中的內嵌框架.

好了。攻擊者植入/修改了這個javascript并且將用戶發送至TDS。

現在，我們來看一下感染服務器中的文件。

再次輸入’convs’會顯示如下會話：

看看，我們都得到了些什么東西…….

貌似我們有1個PDF文件，2個SWF文件以及4個EXE文件，這些可能是由shellcode下載的。

我們可以將所有的文件放入一個文件夾并且通過’dump’函數來進一步檢查，可以添加-e以便不會轉儲EXE文件，這樣就不會誤發布。

正如你看到的那樣，它同時會將新建的壓縮javascript文件進行轉儲。

同時，我們可以利用CapTipper對文件進行檢查。

讓我們通過hexdump來看一看第一個SWF文件。

我們再來看一看第二個：

有意思的東西出現了。這個文件開始使用PK魔字節（magic bytes），這意味著它實際上是一個壓縮文件，它可以由幾個東西組成。

輸入命令’ziplist’來看一看壓縮文件里面的文件

看起來，是一個真正的Silverlight利用。

現在，我們用它真正的擴展進行轉儲：

同時，我們將文件的md5哈希發送至VirusTotal來看一下它是否被任何殺毒提供商認出來，輸入命令’vt’。

這些需要一個VirusTotal API公鑰。

（文件本身沒有發送至VT，只有文件的哈希被發送！）

我們發現，大多殺毒軟件將這個文件定義為惡意文件，而且一些殺毒軟件甚至提供了利用CVE(2013-0074)。

如果你沒有VirusTotal API公鑰，你可以使用命令hashes并手動將這個哈希發送至VirusTotal。

可從GitHub上獲取CapTipepr： https://github.com/omriher/CapTipper。

本文由 360安全播報 翻譯，轉載請注明“轉自360安全播報”，并附上鏈接。
原文鏈接：http://www.omriher.com/2015/01/captipper-malicious-http-traffic.html