【网安-研判-WireShark流量分析】HTTPS流量解密

目录一、前言二、实验1. 实验文件2. 通用过滤规则Wireshark 3.x 适用3、无密钥日志 — 仅查看加密HTTPS流量4、加载密钥日志 — 配置Wireshark解密HTTPS5、解密完成 — 分析明文HTTPS流量1正常合法流量2追踪 HTTP 流①恶意文件下载流量②导出HTTP对象提取木马文件③文件类型校验 计算 SHA256 哈希3远控C2通信流量三、总结1、实操效果2、HTTPS 解密核心原理3、流量区分技巧安全分析常用4、工具操作速记一、前言Wireshark是分析网络流量、追溯恶意行为的核心工具。面对混杂正常业务、系统服务、恶意通信的流量包PCAP单纯肉眼查看数据包效率极低精准的过滤表达式才是排查威胁的关键。审查可疑网络时加密流量十分常见。目前主流网站普遍使用 HTTPS 协议各类恶意软件也会利用 HTTPS 隐匿恶意行为因此解析加密流量对研判威胁、追溯攻击链路尤为重要。HTTPS 实质是承载 HTTP 数据的加密通道早期依靠 SSL 加密如今则以 TLS 协议为主。二、实验下载链接解压密码infected1. 实验文件抓包文件Wireshark-tutorial-on-decrypting-HTTPS-SSL-TLS-traffic.pcap密钥日志文件Wireshark-tutorial-KeysLogFile.txt核心解密文件场景Windows 10 主机感染Dridex 银行木马所有外联流量均为 HTTPS 加密2. 通用过滤规则Wireshark 3.x 适用(http.request or tls.handshake.type eq 1) and !(ssdp)作用筛选网页请求 TLS 客户端握手包排除局域网 SSDP 广播流量专注Web相关流量。3、无密钥日志 — 仅查看加密HTTPS流量观测到的域名列表config.edge.skype.comself.events.data.microsoft.comfoodsgoodforliver.com恶意域名settings-win-ppe.data.microsoft.com105711.com木马C2域名直接用上述过滤规则打开pcap文件无法看到明文请求内容仅能获取基础信息目标IP、443端口HTTPS默认端口TLSClient Hello握手包SNI 域名服务端域名此时所有HTTP请求、传输数据均被TLS加密无法判断流量用途。4、加载密钥日志 — 配置Wireshark解密HTTPS原理铺垫HTTPS 基于 TLS/SSL 加密通信通信双方会协商预主密钥/主密钥。密钥日志文件记录了本次抓包对应的会话密钥Wireshark 导入后即可利用密钥逆向解密加密载荷。操作步骤Step1打开目标Wireshark-tutorial-on-decrypting-HTTPS-SSL-TLS-traffic.pcap抓包文件Step2菜单栏依次点击Edit编辑 → Preferences首选项Step3左侧选择Protocols协议→ 下拉找到TLSStep4找到配置项(Pre)-Master-Secret log filename预主密钥日志文件Step5点击Browse选中密钥文件Wireshark-tutorial-KeysLogFile.txtStep6点击确定保存配置解密立即生效。5、解密完成 — 分析明文HTTPS流量重新使用通用过滤规则流量会拆分出明文HTTP请求可清晰区分正常业务流量与恶意流量。1正常合法流量微软、Skype 官方服务config.edge.skype.comGET配置文件请求self.events.data.microsoft.com/settings-win-ppe.data.microsoft.com微软埋点、配置同步的POST/GET请求2追踪 HTTP 流①恶意文件下载流量域名foodsgoodforliver.com请求方式GET /invest_20.dll行为主机主动下载DLL 动态链接库木马本体如需查看单次请求的完整请求头响应内容使用「跟随HTTP流」功能Step1选中任意一条明文HTTP请求包Step2右键 →Follow→HTTP StreamStep3窗口内展示完整交互请求头、响应头、传输二进制数据②导出HTTP对象提取木马文件Step1菜单栏File → Export Objects → HTTPStep2在弹出的列表中找到foodsgoodforliver.com对应的二进制文件Step3选中文件点击保存/全部保存导出到本地。保存名称为invest_20.dll③文件类型校验 计算 SHA256 哈希打开Powershell终端执行两条命令识别文件类型或查看详情PS C:\(Get-Item invest_20.dll).VersionInfo|Format-List *计算 SHA256 哈希恶意样本溯源核心PS C:\Get-FileHash-AlgorithmSHA256 .\invest_20.dll样本SHA256哈希值31CF42B2A7C5C558F44CFC67684CC344C17D4946D3A1E0B2CECB8EB58173CB2F用途将哈希上传至在线沙箱VT、微步、哈勃等可查询该样本的病毒属性、家族、行为特征。3远控C2通信流量域名105711.com请求方式多次POST /docs.php行为受害主机向黑客C2服务器上报数据、接收指令属于典型远控通信查看有关域名105711.com相关的条目针对105711.com的POST /docs.php请求同样使用「跟随HTTP流」分析客户端Step1选中客户端响应的条目右击 → 追踪流 → TCP StreamStep2查看流信息伪装浏览器UA向C2服务器发送加密二进制数据主机信息、窃取数据等服务端Step1选中服务端响应的条目右击 → 追踪流 → Http StreamStep2查看流信息返回502 Bad Gateway附带TlsProtocolException报错说明本次C2连接失败。该行为是远控木马典型特征受害主机主动外联C2服务器进行数据交互。三、总结1、实操效果访问foodsgoodforliver.com的流服务器返回200 OK内容类型为application/octet-stream二进制流内容为DLL程序。访问105711.com的流主机发送加密二进制数据服务器返回502 Bad GatewayC2链路异常。2、HTTPS 解密核心原理HTTPS HTTP TLS/SSL应用层数据被TLS加密抓包默认看不到明文。TLS 握手阶段会协商预主密钥/主密钥所有加密数据均由该密钥加解密。密钥日志文件记录了本次抓包全过程的会话密钥是Wireshark解密的唯一依据。硬性限制抓包时未生成密钥日志 → 后续永远无法解密该份HTTPS抓包。3、流量区分技巧安全分析常用流量类型特征正常业务HTTPS知名厂商域名、请求路径规范、返回标准业务数据木马下载流量陌生恶意域名、GET请求下载.dll/.exe等可执行文件木马C2流量陌生域名、高频POST请求、传输二进制加密数据4、工具操作速记过滤Web流量(http.request or tls.handshake.type eq 1) and !(ssdp)导入密钥解密首选项 → Protocols → TLS/SSL → 加载密钥日志文件查看完整会话右键包 → Follow → HTTP Stream提取文件File → Export Objects → HTTP样本校验先查看类型、SHA256算哈希