nazneen0304/Wireshark-Threat-Hunting
GitHub: nazneen0304/Wireshark-Threat-Hunting
一套完整的 Wireshark 网络威胁狩猎实战教程,通过分析真实恶意软件 PCAP 样本,教授蓝队分析师如何识别 C2 信标通信、提取 IOC 并将攻击行为映射到 MITRE ATT&CK 框架。
Stars: 0 | Forks: 0
# 🔍 Wireshark 威胁狩猎
## 📁 仓库结构
```
Wireshark-Threat-Hunting/
├── screenshots/
│ ├── session1-baseline-conversations.png
│ ├── session1-io-graph-clean.png
│ ├── session2-protocol-hierarchy.png
│ ├── session2-http-request-c2.png
│ ├── session2-dns-angrypoutine.png
│ ├── session2-tcp-stream-payload.png
│ ├── session2-virustotal-malicious.png
│ └── session2-virustotal-clean.png
├── Session1_Baseline_Report.pdf
├── SOC_ThreatHunting_Session2_Report.pdf
├── iocs-session2.txt
└── README.md
```
## 🧪 会话 1 — 基线流量分析
**目标:** 捕获并分析正常的家庭/实验室网络流量,以建立用于比较的干净基线。
**环境:**
- OS: Kali Linux
- 工具:Wireshark 4.4.6
- 接口:本地网络上的实时捕获
**发现:** 流量是干净的 —— 主要是发往已知服务(Google, Microsoft)的 DNS、ARP 和 HTTPS。未检测到可疑的外部连接。此基线用作在会话 2 中识别异常的参考点。
## 🚨 会话 2 — 恶意软件 PCAP 分析
**PCAP 来源:** [malware-traffic-analysis.net](https://malware-traffic-analysis.net/training-exercises.html) — 训练练习 "Angry Poutine" (2021-09-10)
**严重性:** 🔴 高
**恶意软件家族:** 疑似 Emotet/Trickbot 变体
**受感染主机:** `10.9.10.102` (DESKTOP-KKITB6Q)
### 🎯 发现总结
| # | 发现 | 技术 | MITRE ID | 严重性 |
|---|---------|-----------|----------|----------|
| 1 | 向 `194.62.42.206` 进行 C2 信标通信 | Web Protocols C2 | T1071.001 | 🔴 严重 |
| 2 | 对 `angrypoutine.com` 的 DNS 查询 | DNS C2 | T1071.004 | 🔴 高 |
| 3 | 伪造的 Windows Update 下载 | Masquerading | T1036 | 🟠 高 |
| 4 | SSDP 网络扫描 | Network Service Discovery | T1046 | 🟡 中 |
| 5 | 下载了 285KB 的 PE 可执行文件 | Command & Scripting | T1059 | 🔴 严重 |
| 6 | SMB 横向移动尝试 | SMB/Windows Admin Shares | T1021.002 | 🟠 高 |
### 📸 证据
#### 协议层级 — 流量明细
*HTTP 承载了 5.1% 的字节 (307,754 字节) —— 对于工作站而言这是异常的。SMB 和 Kerberos 确认了 Active Directory 环境。*
#### 发现 1 — C2 信标通信(向恶意 IP 发送 HTTP GET)
*受感染主机向 `194.62.42.206` 发送 HTTP GET 请求,带有随机路径 URL `/bmdff/BhoHsCtZ/MLdmpfjaX/` —— 经典的算法生成 C2 路径。还显示了向 `23.1.237.200` 伪装的 Windows Update 请求。*
#### 发现 2 — TCP 流:下载了 285KB 可执行文件
*TCP 流显示服务器响应了 HTTP 200 OK 和 `Content-Type: application/octet-stream`。有效载荷中可见 MZ 头(Windows PE 可执行文件)—— 下载了 285KB 的第二阶段恶意软件。*
#### 发现 3 — 对 angrypoutine.com 的 DNS 查询
*向 `angrypoutine.com` 子域发送了超过 50 次 DNS 查询,包括 `ANGRYPOUTINE-DC`(域控制器)和 `wpad.angrypoutine.com`(WPAD 代理滥用)。*
#### 发现 4 — 威胁情报:已确认的恶意 IP
*`194.62.42.206` 在 VirusTotal 上被 ESET 标记为恶意软件 (1/91)。ASN:WorkTitans B.V. —— 已知被威胁行为者使用的防弹托管提供商。*
### 🔍 使用的 Wireshark 过滤器
```
# 识别所有 HTTP 请求
http.request
# 查找 C2 beaconing 流量
http.request && ip.dst == 194.62.42.206
# 指向恶意域名的 DNS 查询
dns.qry.name contains "angrypoutine"
# 跟踪 C2 TCP stream (数据包 1189)
tcp.stream eq 50
# 移除内部流量 — 仅显示外部流量
!(ip.addr == 10.0.0.0/8) && !(ip.addr == 169.254.0.0/16)
# 检测网络扫描
tcp.flags.syn == 1 && tcp.flags.ack == 0
# 查找大数据传输(可能的 exfiltration)
frame.len > 1400 && ip.dst != 10.0.0.0/8
```
### 🧾 妥协指标 (IOCs)
| 类型 | 值 | 置信度 | 备注 |
|------|-------|------------|-------|
| IP | `194.62.42.206` | 高 | C2 服务器 — ESET 标记为恶意软件 |
| IP | `23.1.237.200` | 中 | 滥用 Akamai CDN 进行伪造的 Windows Update |
| 域名 | `angrypoutine.com` | 高 | 恶意 AD 域 — 超过 50 次 DNS 查询 |
| 域名 | `wpad.angrypoutine.com` | 高 | WPAD 代理劫持尝试 |
| 域名 | `simpsonsavingss.com` | 高 | C2 Host 头 — 伪造域名 |
| URL | `/bmdff/BhoHsCtZ/MLdmpfjaX/` | 高 | 随机 C2 URI 路径 |
| 文件 | `date6` (285KB .exe) | 高 | MZ PE 可执行文件 — 第二阶段载荷 |
| 主机 | `DESKTOP-KKITB6Q` | 高 | 受感染的 Windows 10 工作站 |
| IP | `10.9.10.102` | 高 | 受害者 IP 地址 |
完整 IOC 列表:[iocs-session2.txt](iocs-session2.txt)
### 🗺️ MITRE ATT&CK 映射
```
Tactic Technique ID Technique Name Evidence
──────────────────────────────────────────────────────────────────────────────
Command & Control T1071.001 Web Protocols HTTP GET /bmdff/BhoHsCtZ/
Command & Control T1071.004 DNS 50+ angrypoutine.com queries
Defense Evasion T1036 Masquerading Fake /msdownload/ paths
Discovery T1046 Network Service Discovery SSDP M-SEARCH flood
Execution T1059 Command & Scripting Interpreter 285KB .exe downloaded
Lateral Movement T1021.002 SMB/Windows Admin Shares SMB2 to ANGRYPOUTINE-DC
```
### 🔁 如何复现
1. 从 [malware-traffic-analysis.net](https://malware-traffic-analysis.net/training-exercises.html) 下载训练用 PCAP — 搜索 "2021-09-10 Angry Poutine"
2. 使用以下密码格式解压:`infected_YYYYMMDD`
3. 在 Wireshark 中打开:`wireshark 2021-09-10-traffic-analysis-exercise.pcap`
4. 按顺序应用上面列出的过滤器
5. 在 [virustotal.com](https://virustotal.com) 和 [abuseipdb.com](https://abuseipdb.com) 验证 IP
## 🛠️ 使用的工具
| 工具 | 用途 |
|------|---------|
| Wireshark 4.4.6 | 数据包捕获和分析 |
| Kali Linux | 分析环境 |
| VirusTotal | 威胁情报验证 |
| AbuseIPDB | IP 信誉查询 |
| MITRE ATT&CK | 对手技术映射 |
| malware-traffic-analysis.net | 会话 2 的 PCAP 来源 |
## 📄 报告
- 📘 [会话 1 — 基线流量分析报告](Session1_Baseline_Report.pdf)
- 📕 [会话 2 — 恶意软件流量分析报告](SOC_ThreatHunting_Session2_Report.pdf)
## 👩💻 关于
**Nazneen** | 三年级 B.Tech CSE
RGUKT Srikakulam | Web Technologies (20CS2203)
🔗 [GitHub](https://github.com/nazneen0304) | 📧 在 [LinkedIn](https://linkedin.com/in/nazneen0304) 联系我
标签:Beaconing Detection, C2通信, Cloudflare, DAST, Emotet, IOCs, IP 地址批量处理, MITRE ATT&CK, OpenCanary, PCAP分析, Trickbot, Wireshark, 信标检测, 句柄查看, 命令与控制, 基线分析, 威胁情报, 安全运营中心, 开发者工具, 异常检测, 恶意软件分析, 数字取证, 网络信息收集, 网络安全, 网络映射, 自动化脚本, 配置审计, 隐私保护