SMD744/network-security-incident-analysis
GitHub: SMD744/network-security-incident-analysis
一份使用 Wireshark 对 NetSupport RAT 恶意软件感染进行企业网络事件取证的完整分析报告,涵盖调查方法论、IOC 清单及 MITRE ATT&CK 映射。
Stars: 0 | Forks: 0
# 网络安全事件分析
针对 NetSupport RAT 恶意软件感染的 Wireshark 分析
# 🔍 网络安全事件分析:NetSupport RAT 恶意软件
## 📋 概述
本仓库包含一份全面的事件报告,记录了企业内部环境中可疑网络活动的取证分析。调查通过使用 Wireshark 进行系统的数据包分析,识别出一台感染了 **NetSupport RAT** 的工作站。
### 🎯 关键发现
| 受损资产 | 详情 |
|-------------------|---------|
| **主机名** | `DESKTOP-TEYQ2NR` |
| **IP 地址** | `10.2.28.28` |
| **域用户** | Becka Rolf (`brolf`) |
| **恶意 C2 服务器** | `45.131.214.85:443` |
| **检测方法** | HTTP POST 流量分析 |
## 🔬 调查方法论
### 阶段 1:流量收集
- 使用 Wireshark 捕获网络数据包
- 保留完整的捕获数据包以供分析
### 阶段 2:恶意流量识别
- HTTP 过滤器 `http.request` 揭示了可疑的 POST 请求
- 识别出与外部 IP `45.131.214.85` 的通信
### 阶段 3:主机归属
- NBNS 协议分析将 IP `10.2.28.28` 映射到 `DESKTOP-TEYQ2NR`
- Kerberos 流量揭示了用户名 `brolf`
### 阶段 4:用户身份识别
- 深度包检测识别出完整的用户身份:**Becka Rolf**
## 🚨 入侵指标 (IOCs)
| IOC 类型 | 值 |
|----------|-------|
| 🖥️ 受害者 IP | 10.2.28.28 |
| ☠️ 恶意 IP | 45.131.214.85 |
| 🔌 源端口 | 51912 |
| 🚪 目标端口 | 443 |
| 💻 主机名 | DESKTOP-TEYQ2NR |
| 🌐 域 | EASYAS123 |
| 👤 用户名 | brolf |
| 🆔 全名 | Becka Rolf |
## 📊 MITRE ATT&CK 映射
| 战术 | 技术 | ID | 证据 |
|--------|-----------|----|----------|
| 初始访问 | 钓鱼 | T1566 | 用户系统发起到可疑外部服务器的连接 |
| 命令与控制 | Web 协议 | T1071.001 | 到外部 IP `45.131.214.85` 的 HTTP POST 通信 |
| 发现 | 系统信息发现 | T1082 | 通过 NBNS 发现内部系统信息 |
## 🛡️ 建议的补救措施
1. **隔离** - 立即将 `DESKTOP-TEYQ2NR` 从网络中断开
2. **扫描** - 使用更新的 EDR 工具执行全面的恶意软件分析
3. **重置** - 强制重置用户 `Becka Rolf` 的密码并审查近期的认证日志
4. **阻断** - 将 `45.131.214.85` 添加到边界防火墙的黑名单中
5. **搜寻** - 在整个企业范围内搜索类似的通信模式
6. **监控** - 增强针对外部目标的 HTTP/S 流量日志记录
## 📁 仓库结构
📦 network-security-incident-analysis
├── 📄 Incident-Report-NetSupport-RAT.md # 完整取证报告
├── 📄 README.md # 本概述
├── 📂 images/ # 支持性证据
│ ├── wireshark-capture.png
│ ├── http-post-traffic-1.png
│ ├── http-post-traffic-2.png
│ ├── nbns-query.png
│ ├── kerberos-auth.png
│ └── user-identification.png
└── 📄 LICENSE # MIT 许可证
## 🔗 相关资源
- [MITRE ATT&CK 框架](https://attack.mitre.org/)
- [Wireshark 文档](https://www.wireshark.org/docs/)
- [NetSupport RAT 分析](https://malpedia.caad.fkie.fraunhofer.de/details/win.netsupport_manager_rat)
## 👨💻 作者
**OYEWOLE SAMAD OLUWASANJO**
*网络安全分析师*
[](https://linkedin.com/in/yourprofile)
[](mailto:oyewolesamadoluwasanjo@gmail.com)
本次调查是作为网络安全监控和事件响应程序的一部分进行的。
© 2026 - 所有分析和文档均为原创作品
© 2026 - 所有分析和文档均为原创作品
标签:C2通信, DAST, HTTP, HTTP分析, IOC指标, NetSupport RAT, Wireshark, 企业安全, 协议分析, 句柄查看, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 数字取证, 权限提升, 网络安全, 网络资产管理, 自动化脚本, 隐私保护