Tanisthere/pcap-malware-analysis-netsupport-rat

# 🔍 PCAP 恶意软件分析 — NetSupport Manager RAT ## 📌 项目概述 本项目记录了一起通过 SIEM 告警检测到的 **NetSupport Manager RAT** 感染的真实 SOC 调查过程。利用 **Wireshark**，完全通过网络流量分析确定了受感染主机——从最初的异常检测到完整的受害者识别和事件报告。 ## 🧠 前置条件 — 您首先需要了解的内容 ### 什么是 Wireshark？ Wireshark 是一款免费、开源的 **网络数据包分析器**。它可以捕获并让您实时检查流经网络接口的每一个数据包——或者从保存的捕获文件中检查。它是网络取证和流量分析的行业标准工具。 ### 什么是 PCAP 文件？ PCAP（Packet Capture，数据包捕获）文件是一份 **网络流量记录**——就像数据包的 CCTV 录像一样。它捕获了在特定时间窗口内网络接口发送和接收的每一个数据包。分析师通过回放这些文件来调查 incidents（安全事件），而无需访问实时网络。 ### 什么是 RAT（Remote Access Trojan，远程访问木马）？ RAT 是一种恶意软件，它赋予攻击者对受害者计算机的 **无声远程控制权**。一旦安装，攻击者可以： - 实时查看受害者的屏幕 - 记录击键 - 访问文件 - 通过远程终端执行命令 - 窃取数据 所有这些都是不可见的——受害者什么也看不到。 ### 什么是 NetSupport Manager RAT？ NetSupport Manager 是一款 **合法的商业远程桌面工具**，通常被 IT 支持团队使用。攻击者将其滥用为恶意软件，因为： | 合法用途 | 恶意滥用 | |---|---| | IT 团队远程支持员工 | 攻击者无声地远程控制受害者 | | 从 `C:\Program Files\NetSupport\` 运行 | 从 `%AppData%\Roaming\\` 运行 | | 与 `netsupportsoftware.com` 通信 | 与攻击者控制的 C2 IP 通信 | | 使用标准 HTTPS（TLS 加密） | 在端口 443 上使用明文 HTTP（无加密） | | 经用户同意安装 | 通过虚假浏览器更新静默安装 | | 有效的数字签名 | 代码签名：不受信任 | 因为它使用的是 **真实的、合法的二进制文件**（`client32.exe`），杀毒软件通常会漏掉它。恶意行为完全由攻击者控制的配置文件（`client32.ini`）驱动。 ## 🌐 环境详情（来自 SIEM 告警） | 参数 | 值 | |---|---| | LAN 网段 | `10.2.28.0/24` | | 域名 | `easyas123.tech` | | AD 环境 | `EASYAS123` | | 域控制器 | `10.2.28.2` — EASYAS123-DC | | 网关 | `10.2.28.1` | | 广播地址 | `10.2.28.255` | | 告警触发 | 来自 `45.131.214.85` 的 NetSupport Manager RAT 特征码，端口 TCP/443 | | 活动开始时间 | 2026-02-28 19:55 UTC | ## 📁 仓库结构 ``` pcap-malware-analysis-netsupport-rat/ │ ├── README.md ← You are here ├── extra-info/ │ └── attack-flow.md ← How the attack happened (activity diagram) │ ├── Task-1-Environment-Setup-and-Detection/ │ └── README.md ← Load PCAP + detect malicious traffic ├── Task-2-Attack-Identification-Threat-Intelligence/ │ └── README.md ← Identify attack using threat intel tools ├── Task-3-Deep-Packet-and-Stream-Analysis/ │ └── README.md ← Read packets + sandbox analysis ├── Task-4-Victim-Host-Identification/ │ └── README.md ← Find victim IP, MAC, hostname, username ├── Task-5-Incident-Report/ │ └── README.md ← Final IOC summary and recommendations │ └── screenshots/ ← All evidence screenshots ``` ## 🗺️ 调查任务索引 | 任务 | 名称 | 关键发现 | |---|---|---| | [任务 1](./Task-1-Environment-Setup-and-Detection/README.md) | 环境设置与检测 | 端口 443 上有 266 个明文 HTTP 数据包 — 确认异常 | | [任务 2](./Task-2-Attack-Identification-Threat-Intelligence/README.md) | 通过威胁情报识别攻击 | `45.131.214.85` 确认为 NetSupport Manager RAT C2 | | [任务 3](./Task-3-Deep-Packet-and-Stream-Analysis/README.md) | 深度数据包与流分析 | 解码 `CMD=POLL` 信标 — RAT 正在主动签到 | | [任务 4](./Task-4-Victim-Host-Identification/README.md) | 受害者主机识别 | 受害者：`brolf`，主机名 `DESKTOP-TEYQ2NR`，IP `10.2.28.88` | | [任务 5](./Task-5-Incident-Report/README.md) | 事件报告与 IOC 总结 | 包含修复步骤的完整事件报告 | ## 🔗 想了解此攻击是如何发生的？ 调查告诉您网络中发生了 **什么**。要了解攻击者最初是 **如何** 将 RAT 植入受害者机器的——从虚假浏览器更新到静默 C2 信标的完整攻击链——请阅读： ➡️ **[攻击流程 — NetSupport RAT 是如何投递的](./extra-info/attack-flow.md)** ## 🛠️ 使用的工具 | 工具 | 用途 | |---|---| | [Wireshark 4.6.4](https://www.wireshark.org/) | 主要 PCAP 分析工具 | | [VirusTotal](https://www.virustotal.com/) | C2 IP 信誉检查 | | [ANY.RUN](https://any.run/) | 交互式恶意软件沙箱 — 可视化攻击行为 | | [ThreatFox](https://threatfox.abuse.ch/) | IOC 数据库 — 确认 RAT 分类 | | [malware-traffic-analysis.net](https://www.malware-traffic-analysis.net/) | 训练用 PCAP 文件来源 | ## ⚠️ 免责声明 本项目使用来自 [malware-traffic-analysis.net](https://www.malware-traffic-analysis.net/) 的公开训练 PCAP。所有分析仅用于 **教育和作品集展示目的**。未执行任何活体恶意软件。

标签：C2通信, DAST, IP 地址批量处理, NetSupport Manager RAT, PCAP分析, PE 加载器, SIEM告警, SOC调查, Wireshark, Wireshark教程, 句柄查看, 威胁情报, 子域枚举, 安全运营中心, 开发者工具, 恶意软件分析, 流量解密, 深度包检测, 网络信息收集, 网络安全分析, 网络映射, 网络流量分析, 远控木马