Wireshark教程：解密HTTPS流量( 二 ) _Wireshark

文章插图

如果您使用的是Wireshark版本2.x，向下滚动直到找到SSL并将其选中。如果您使用的是Wireshark 3.x版，请向下滚动至TLS并选择它。选择SSL或TLS后，您应该会看到一行(Pre)-Master-Secret log filename 。单击“Browse”按钮并选择名为
Wireshark-Tutorial-KeysLogFile.txt的密钥日志文件，如图所示。

文章插图

文章插图

#具有密钥日志文件的HTTPS流量单击“OK”之后，在使用基本过滤时，Wireshark列显示将在每行HTTPS下列出解密的HTTP请求，如图所示。

文章插图

在此pcap中，我们现在看到对先前隐藏在HTTPS流量中的microsoft.com和sky pe.com域的HTTP请求。我们还发现了由Dridex感染造成的以下流量：
foodsgoodforliver[.]com - GET /invest_20.dll
105711[.]com - POST /docs.php
对foodsgood forliver[.]com的GET请求返回了Dridex的DLL文件。对105711[.]COM的POST请求是来自感染Dridex的Windows主机与命令和控制(C2)的通信。
我们可以通过跟踪HTTP流来查看流量。右键单击该行以将其选中，然后左键单击以调出跟随HTTP流的菜单。下图显示了对foodsgood forliver[.]com的HTTP GET请求的HTTP流。

文章插图

文章插图

由于我们有此流量的密钥日志文件，因此现在可以从pcap中导出此恶意软件。使用菜单path File-->Export Objects-->HTTP从pcap中导出此文件，如图所示。

文章插图

如果您在BSD，Linux或macOS环境中，请打开一个终端窗口，然后使用file命令确认这是一个DLL文件。然后使用shasum -a 256获取文件的SHA256哈希，如下图所示。

文章插图

此恶意软件的SHA256哈希为：
31cf42b2a7c5c558f44cfc67684cc344c17d4946d3a1e0b2cecb8eb58173cb2f
如果在线搜索此散列，则应至少从两个公开可用的在线沙箱环境中找到结果。
最后，我们可以查看此Dridex感染的C2流量。使用基本网络过滤，然后沿着其中一个POST请求的HTTP流到达105711[.]com 。如下图显示了其中一个HTTP流的示例。