rohit-aswal08/SOC-Threat-Hunting-Portfolio
GitHub: rohit-aswal08/SOC-Threat-Hunting-Portfolio
一个基于 Splunk 和 Wireshark 的 SOC 威胁狩猎作品集,通过分析 PhantomStealer 恶意软件的真实流量数据,展示从 DNS、HTTP 到 TLS 的完整攻击链调查过程。
Stars: 0 | Forks: 0
```
███████╗ ██████╗ ██████╗ ████████╗██╗ ██╗██████╗ ███████╗ █████╗ ████████╗
██╔════╝██╔═══██╗██╔════╝ ╚══██╔══╝██║ ██║██╔══██╗██╔════╝██╔══██╗╚══██╔══╝
███████╗██║ ██║██║ ██║ ███████║██████╔╝█████╗ ███████║ ██║
╚════██║██║ ██║██║ ██║ ██╔══██║██╔══██╗██╔══╝ ██╔══██║ ██║
███████║╚██████╔╝╚██████╗ ██║ ██║ ██║██║ ██║███████╗██║ ██║ ██║
╚══════╝ ╚═════╝ ╚═════╝ ╚═╝ ╚═╝ ╚═╝╚═╝ ╚═╝╚══════╝╚═╝ ╚═╝ ╚═╝
H U N T I N G — D E T E C T I N G — R E S P O N D I N G
```
# 🛡️ SOC 威胁狩猎与调查作品集
**Rohit Aswal · SOC 分析师 | 威胁猎手 | 网络安全监控**
[](https://www.splunk.com/)
[](https://www.wireshark.org/)
[](https://attack.mitre.org/)
[](https://www.kali.org/)
[-red?style=flat-square)](https://www.eccouncil.org/)
*基于真实恶意软件 PCAP 数据集的实战 SOC 调查 —— 每个案例均使用 Splunk SIEM 和 Wireshark 重构跨越 DNS、HTTP 和 TLS 的完整攻击链。*
## 👨💻 关于我
| | |
|---|---|
| **姓名** | Rohit Aswal |
| **角色定位** | SOC 分析师 · 威胁狩猎 · 网络安全监控 |
| **主要工具** | Splunk Enterprise · Wireshark · Kali Linux |
| **方法论** | 对齐 MITRE ATT&CK 的多层流量分析 |
| **LinkedIn** | [](https://www.linkedin.com/in/rohit-aswal08) |
| **GitHub** | [](https://github.com/rohitaswal2108-Roh) |
## 🔍 精选调查系列
### PhantomStealer 恶意软件 —— 多层网络分析
```
┌─────────────────────────────────────────────────────────────────────────────┐
│ PHANTOMSTEALER ATTACK CHAIN │
├─────────────────┬─────────────────┬─────────────────────────────────────────┤
│ PROJECT 1 │ PROJECT 2 │ PROJECT 3 │
│ DNS Layer │ HTTP Layer │ TLS Layer │
│ │ │ │
│ C2 Beaconing │ Config File │ Encrypted C2 │
│ Detection │ Downloads │ Channel Detection │
│ │ │ │
│ T1071.004 │ T1071.001 │ T1573 │
│ │ T1105 │ │
└────────┬────────┴────────┬────────┴──────────┬──────────────────────────────┘
│ │ │
└────────>────────┴─────────>─────────┘
DNS resolves HTTP downloads TLS encrypts
C2 domain config files C2 traffic
```
## 📌 项目 1 —— DNS 流量分析
### 🔎 关注领域
- DNS 查询模式分析与 C2 域名识别
- 基于查询频率分析的 Beaconing 检测
- 使用 Splunk 正则表达式 (`rex`) 进行字段提取
- 受感染主机识别
### 🧠 关键发现
| 发现 | 详情 | 严重程度 |
|--------|--------|----------|
| C2 域名 (主要) | `scxzswx.lovestoblog.com` → `185.27.134.154` | 🔴 严重 |
| C2 域名 (次要) | `exczx.com` → `185.38.151.11` | 🔴 严重 |
| 受感染主机 | `10.1.30.101` | 🔴 严重 |
| 侦查行为 | `icanhazip.com` 公网 IP 查询 | 🟡 可疑 |
| 已确认 Beaconing | 向 C2 域名发起 4 次重复查询 | 🔴 严重 |
### 🛠️ 展示技能
`SPL 查询` · `正则表达式字段提取` · `IOC 开发` · `MITRE ATT&CK 映射` · `DNS Beaconing 检测`
➡️ **[查看完整项目 1 —— DNS 分析](./Project-01-PhantomStealer-DNS-Analysis/)**
## 📌 项目 2 —— HTTP 流量分析
### 🔎 关注领域
- HTTP GET 请求分析与载荷检测
- 配置文件下载识别(带时间戳的文件名)
- C2 IP 与项目 1 中 DNS 发现结果的关联
- 基于 HTTP 会话数据重构攻击时间线
### 🧠 关键发现
| 发现 | 详情 | 严重程度 |
|--------|--------|----------|
| C2 服务器 | `185.27.134.154` (4 次 HTTP 交互) | 🔴 严重 |
| 配置文件 1 | 已下载 `/arquivo_20260129190545.txt` | 🔴 严重 |
| 配置文件 2 | 已下载 `/arquivo_20260129190534.txt` | 🔴 严重 |
| IP 侦查 | 查询 `icanhazip.com` (104.16.185.241) | 🟡 可疑 |
| 活动窗口 | 所有流量集中在 40 秒突发窗口内 | 🟡 可疑 |
### 🛠️ 展示技能
`Web 协议分析` · `跨协议关联` · `攻击链构建` · `载荷检测` · `MITRE ATT&CK 映射`
➡️ **[查看完整项目 2 —— HTTP 分析](./Project-02-PhantomStealer-HTTP-Analysis/)**
## 📌 项目 3 —— TLS/SSL 加密流量分析
### 🔎 关注领域
- TLS 握手阶段分析 (Client Hello → Application Data)
- 提取服务器名称指示 (SNI) 以进行域名检测
- 在不解密的情况下识别加密 C2 通道
- 多层关联:DNS → HTTP → TLS
### 🧠 关键发现
| 发现 | 详情 | 严重程度 |
|--------|--------|----------|
| 加密 C2 | 通过 SNI 连接到 `exczx.com` 的 TLS 连接 | 🔴 严重 |
| TLS 事件 | 共分析 223 个事件 | ℹ️ 信息 |
| 加密载荷 | 握手后交换的 Application Data | 🔴 严重 |
| CDN 滥用 | `res.cloudinary.com` TLS 连接 | 🟡 可疑 |
| 已确认 C2 | 跨越 DNS + HTTP + TLS 的相同基础设施 | 🔴 严重 |
### 🛠️ 展示技能
`加密流量分析` · `TLS 协议拆解` · `基于 SNI 的检测` · `多协议关联` · `MITRE ATT&CK 映射`
➡️ **[查看完整项目 3 —— TLS 分析](./Project-03-PhantomStealer-TLS-Analysis/)**
## 🎯 完整攻击链重构
```
PHASE 1 — RECONNAISSANCE
━━━━━━━━━━━━━━━━━━━━━━━━
Host: 10.1.30.101
Action: DNS query to icanhazip.com → discovers public IP
MITRE: T1016 (System Network Configuration Discovery)
↓
PHASE 2 — C2 DOMAIN RESOLUTION [Project 1 — DNS]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Action: 4x DNS queries to scxzswx.lovestoblog.com → 185.27.134.154
2x DNS queries to exczx.com → 185.38.151.11
MITRE: T1071.004 (Application Layer Protocol: DNS)
↓
PHASE 3 — UNENCRYPTED C2 CONTACT [Project 2 — HTTP]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Action: HTTP GET → 185.27.134.154
Downloads: arquivo_20260129190534.txt
arquivo_20260129190545.txt
MITRE: T1071.001 (Web Protocols), T1105 (Ingress Tool Transfer)
↓
PHASE 4 — ENCRYPTED C2 CHANNEL [Project 3 — TLS]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Action: TLS HTTPS connection to exczx.com (detected via SNI)
223 events — Client Hello → Application Data
MITRE: T1573 (Encrypted Channel)
```
## 🗺️ MITRE ATT&CK 覆盖范围
| 技术ID | 技术名称 | 战术 | 项目 |
|-------------|---------------|--------|---------|
| [T1016](https://attack.mitre.org/techniques/T1016/) | 系统网络配置发现 | 发现 | 1, 2 |
| [T1071.004](https://attack.mitre.org/techniques/T1071/004/) | 应用层协议:DNS | 命令与控制 | 1 |
| [T1071.001](https://attack.mitre.org/techniques/T1071/001/) | 应用层协议:Web | 命令与控制 | 2, 3 |
| [T1105](https://attack.mitre.org/techniques/T1105/) | 入口工具传输 | 命令与控制 | 2 |
| [T1102](https://attack.mitre.org/techniques/T1102/) | Web 服务 | 命令与控制 | 2 |
| [T1573](https://attack.mitre.org/techniques/T1573/) | 加密通道 | 命令与控制 | 3 |
## 🛠️ 工具与技术
```
┌─────────────────────────────────────────────────────────────────┐
│ SOC ANALYST TOOLKIT │
├──────────────────────┬──────────────────────┬───────────────────┤
│ SIEM │ TRAFFIC ANALYSIS │ ENVIRONMENT │
│ │ │ │
│ • Splunk Enterprise │ • Wireshark │ • Kali Linux │
│ • SPL (Search │ • PCAP filtering │ • Isolated VM │
│ Processing Lang) │ • DNS/HTTP/TLS │ │
│ • Custom Indexes │ dissection │ │
│ • Correlation Rules │ • CSV export │ │
│ │ │ │
├──────────────────────┴──────────────────────┴───────────────────┤
│ FRAMEWORKS & DATASETS │
│ • MITRE ATT&CK Framework — Behavioral mapping │
│ • Malware Traffic Analysis — Real-world PCAP datasets │
└─────────────────────────────────────────────────────────────────┘
```
## 📊 作品集技能矩阵
| 技能 | 项目 |
|-------|----------|
| 威胁狩猎方法论 | 1, 2, 3 |
| 网络流量分析 | 1, 2, 3 |
| SIEM 查询开发 (SPL) | 1, 2, 3 |
| IOC 提取与文档化 | 1, 2, 3 |
| C2 基础设施识别 | 1, 2, 3 |
| DNS Beaconing 检测 | 1 |
| HTTP 载荷分析 | 2 |
| 加密流量分析 (TLS/SNI) | 3 |
| 攻击时间线重构 | 2, 3 |
| MITRE ATT&CK 映射 | 1, 2, 3 |
| 跨协议关联 | 2, 3 |
| 专业安全文档编写 | 1, 2, 3 |
## 🔴 入侵指标 (主 IOC 列表)
### 网络 IOC
| 类型 | 值 | 来源 |
|------|-------|--------|
| C2 域名 | `scxzswx.lovestoblog.com` | 项目 1, 2 |
| C2 域名 | `exczx.com` | 项目 1, 3 |
| C2 IP | `185.27.134.154` | 项目 2 |
| C2 IP | `185.38.151.11` | 项目 1, 3 |
| 侦查 IP | `104.16.185.241` (icanhazip.com) | 项目 1, 2 |
### 主机 IOC
| 类型 | 值 | 来源 |
|------|-------|--------|
| 受感染主机 | `10.1.30.101` | 项目 1, 2, 3 |
| 网络段 | `10.1.30.0/24` | 项目 1 |
### 文件 IOC
| 类型 | 值 | 来源 |
|------|-------|--------|
| 已下载配置 | `/arquivo_20260129190545.txt` | 项目 2 |
| 已下载配置 | `/arquivo_20260129190534.txt` | 项目 2 |
## ⚠️ 免责声明
所有调查均在**受控实验环境**中进行,使用的是来自 [malware-traffic-analysis.net](https://www.malware-traffic-analysis.net/) 的**公开可用恶意软件数据集**。未涉及真实系统的入侵。所有发现仅用于教育和作品展示目的。
**Rohit Aswal** · SOC 分析师 · 威胁猎手
*🔐 兴趣领域:SOC 分析 · 数字取证 · 应急响应 · 威胁狩猎*
[](https://www.linkedin.com/in/rohit-aswal08)
[](https://github.com/rohitaswal2108-Roh)
标签:AMSI绕过, Cloudflare, IP 地址批量处理, MITRE ATT&CK, PE 加载器, SOC Analyst, Splunk Enterprise, Wireshark, 事件调查, 句柄查看, 威胁检测, 安全仪表盘, 安全运营中心, 库, 应急响应, 数字取证, 网络安全审计, 网络安全监控, 网络映射, 自动化脚本, 驱动开发