SuprithKr/Malware-Traffic-Analysis

# 恶意软件流量分析 SOC 调查分析真实的恶意软件 PCAP 流量，以识别 一个基于 Java 的远程访问木马 (RAT)，使用 Wireshark。 ## PCAP 文件 | 字段 | 详情 | |---|---| | Filename | 2024-07-30-traffic-analysis-exercise.pcap | | Source | malware-traffic-analysis.net | | Exercise | You Dirty RAT | | Capture Duration | 9 分钟 45 秒 | | Total Packets | 11,562 | | Total Size | 11 MB | | Capture Date | 2024-07-30 | ## 使用的工具 - **Wireshark** — 数据包捕获分析 - **Statistics → Conversations** — 识别主要通信方 - **Follow TCP Stream** — 读取 HTTP 内容 - **Export HTTP Objects** — 提取下载的文件 - **TLS SNI filter** — 识别加密目的地 ## 受害者机器 | 字段 | 值 | |---|---| | Internal IP | 172.16.1.66 | | Public IP | 136.49.34.127 | | Location | Austin, Texas | | ISP | Google Fiber | | OS | Windows 10 x64 | ## 攻击摘要 ``` STEP 1 — Connectivity check via msftconnecttest.com STEP 2 — Geolocation recon via ip-api.com STEP 3 — RAT payload downloaded from objects.githubusercontent.com STEP 4 — Java dependencies downloaded from repo1.maven.org RESULT — Java-based RAT successfully deployed ``` ## 关键 IOC | 类型 | 值 | |---|---| | Malicious IP | 185.199.110.133 | | Malicious IP | 199.232.196.209 | | Recon IP | 208.95.112.1 | | Domain | objects.githubusercontent.com | | Domain | ip-api.com | | Victim Public IP | 136.49.34.127 | | Malware Type | 基于 Java 的 RAT | | Protocol | HTTPS TLS 1.2 端口 443 | ## 调查状态 ✅ PCAP 已加载并分析 ✅ 受害者机器已识别 ✅ 地理位置侦查已检测 ✅ Payload 下载已识别 ✅ IOC 已提取 ✅ 事件报告已完成

标签：AMSI绕过, DAST, GitHub恶意利用, HTTP对象提取, IP 地址批量处理, IP地理位置侦测, Java RAT, Maven仓库滥用, PCAP分析, SOC调查, TCP流分析, TLS SNI过滤, Windows 10, Wireshark, 入侵分析, 句柄查看, 后渗透, 域名收集, 威胁检测, 安全运营中心, 底层编程, 恶意流量分析, 恶意软件分析, 数字取证, 流量取证, 网络信息收集, 网络安全, 网络映射, 自动化脚本, 远程访问木马, 隐私保护