Saravanan-Patrick/Lab-03-Malware-Traffic-Analysis

# 实验室-03-恶意软件流量分析 **安全运营中心 — 实战实验室文档** 作者：Saravanan | [GitHub](https://github.com/Saravanan-Patrick) | [LinkedIn](https://linkedin.com/in/saravanan-cyber) ## 这是一个完全隔离、受控的实验室环境。没有针对真实系统的攻击。所有模拟均在个人虚拟机上执行，仅供教育目的。 ## 关于本实验室 实验室 03 侧重于网络流量分析 —— 这是每位 SOC 分析师的核心技能。使用 Kali Linux 上的 Wireshark，针对 Windows 10 生成并捕获了多种类型的可疑流量以供分析。本实验室模拟了 SOC 分析师如何识别恶意网络模式，包括端口扫描、Ping 扫描和 C2 连接尝试。 ## 实验室环境 | 组件 | 详情 | |-----------|---------| | Hypervisor | VMware Workstation Pro 25H2 | | 攻击机 | Kali Linux 2025.4 (amd64) | | 防御者 / 目标机 | Windows 10 x64 | | 网络类型 | VMware LAN 段 — 隔离 (testpractice) | | 攻击者 IP | 192.168.20.11 (静态) | | 目标 IP | 192.168.20.10 (静态) | | 互联网访问 | 无 - 完全物理隔离 | | 攻击工具 | Wireshark | | 捕获的目标数据包 | 1,066 个数据包 | | 检测到的协议 | TCP,UDP | ## ⚔️ 攻击模拟 — 攻击者端 (Kali Linux) ### 攻击 1 — 强力 Nmap 扫描 bash Nmap -A -sV 192.168.20.10 针对 Windows 10 所有端口的强力扫描，结合了服务检测、操作系统检测和默认脚本。 ## 攻击 2 — Ping 扫描 Nmap -sn 192.168.20.0/24 扫描整个子网以发现所有存活主机 —— 模拟攻击者对网络进行测绘。 ## 攻击 3 — Netcat C2 连接尝试 Nc -nv 192.168.20.10 445 模拟命令与控制 (C2) 恶意软件连接到 SMB 端口 445 —— 这正是真实恶意软件信标连接到攻击者基础设施的方式。 ## 攻击 4 — UDP 端口扫描 Nmap -sU –top-ports 20 192.168.20.10 扫描前 20 个 UDP 端口 —— 产生的流量模式与 TCP 扫描不同。 ## 🔍 Wireshark 分析 — 防御者端 ## 捕获摘要 | 指标 | 数值 | |-----------|---------| | 捕获的总数据包 | 1,066 个数据包 | | 丢弃的数据包 | 0 (0.0%) | | 捕获接口 | eth0 | | 源 IP (攻击者) | 192.168.20.11 | | 目标 IP (目标机) | 192.168.20.10 | | 捕获文件 | lab03-malware-traffic-analysis.pcapng | | 识别出的协议 | TCP, UDP | ## Wireshark 过滤器表： | 过滤器 | 用途 | 揭示内容 | |------------|---------|-------------------| | ip.addr == 192.168.20.10 | 所有流向 Win10 的流量 | 可见完整的攻击流量 | | tcp.flags.syn == 1 and tcp.flags.ack == 0 | 仅 TCP SYN 数据包 | 识别出端口扫描模式 | | icmp | Ping 流量 | 网络发现流量 | | tcp.port == 445 | SMB 端口流量 | Netcat C2 连接尝试 | | udp | UDP 扫描流量 | UDP 端口扫描模式 | ## 流量模式分析表： | 攻击类型 | 协议 | 识别出的模式 | SOC 告警级别 | |------------|---------|-------------------|----------------| | 强力 Nmap 扫描 | TCP | 向所有端口快速发送 SYN 数据包 | HIGH | | Ping 扫描 | ICMP | 连续的 ICMP 回显请求 | MEDIUM | | Netcat C2 尝试 | TCP | 直接连接到端口 445 | HIGH | | UDP 端口扫描 | UDP | 检测到 104 个 UDP 会话 | MEDIUM | ## 协议层级表： | 协议 | 意义 | |-----------|---------| | TCP | 端口扫描和服务连接 | | UDP | UDP 端口扫描 — 探测了前 20 个端口 | | ICMP | 网络发现 — Ping 扫描流量 | ## 入侵指标 (IOCs) 表： | IOC 类型 | 数值 | 意义 | |------------|---------|-------------------| | 源 IP | 192.168.20.11 | Kali Linux — 攻击者 | | 目标 IP | 192.168.20.10 | Windows 10 — 受害者 | | 总数据包 | 1,066 | 短时间内的大量数据 | | TCP SYN 模式 | 多个 SYN 数据包 | 典型的端口扫描 | | UDP 会话 | 104 个 UDP 探测 | 检测到 UDP 端口扫描 | | 端口 445 访问 | 直接 SMB 连接 | C2 模拟尝试 | | 识别出的工具 | Nmap 和 Netcat | 在数据包头中可见 | | 日期 | 2026-03-16 | 攻击时间戳 | ## 杀伤链 表： ## 所有 3 个实验室关联 | 实验室 | 杀伤链阶段 | MITRE ATT&CK | 动作 | |-----|-----------------|-------------|--------| | 实验室 01 | 侦察 | T1046 — 网络服务发现 | Nmap 发现端口 135, 139, 445 | | 实验室 02 | 利用 | T1110 — 暴力破解 | Metasploit 攻击端口 445 | | 实验室 03 | 侦察 + C2 | T1046 + T1071 | 所有攻击类型的流量分析 | ## 🛡️ 安全观察 TCP SYN 模式 —— 向多个端口快速发送 SYN 数据包是典型的 Nmap 特征。 SIEM 触发：来自同一 IP 的每秒超过 10 个 SYN 数据包。检测到 UDP 扫描 —— 发现 104 个 UDP 会话 —— 攻击者使用 UDP 来查找 DNS 端口 53 和 SNMP 端口 161。Netcat C2 模式 —— 直接连接到端口 445 模拟了恶意软件向 C2 服务器发送信标。 完整日志可见性 —— 捕获的每个数据包都带有源 IP 和时间戳。 生成的事件 ID 4625 —— 新的失败登录确认了跨实验室攻击链。 ## 📝 我学到了什么 • 如何使用 Wireshark 捕获和分析实时网络流量。 • 如何从 TCP SYN 标志识别端口扫描模式。 • 如何使用 Wireshark 过滤器隔离特定的攻击流量。 • UDP 扫描在数据包捕获方面与 TCP 扫描有何不同。 • Netcat 如何模拟 C2 通信模式。 • 所有 3 个实验室如何作为一个完整的网络杀伤链 连接起来。 • MITRE ATT&CK 如何映射到真实的网络流量。 ## 👨💻 关于我 Saravanan —— 正从食品技术领域转型进入网络安全，专注于 SOC 分析和蓝队行动。本实验室是我的迷你 SOC 家庭实验室系列的一部分，用于记录动手学习过程。 - LinkedIn: [linkedin.com/in/saravanan-cyber](https://linkedin.com/in/saravanan-cyber) - 电子邮件: career.entrydesk@gmail.com - 地点: 印度泰米尔纳德邦 Thiruvallur ✅ 如果这个实验室对你有帮助，请给它一个 Star！

标签：Beacon Object File, C2 模拟, CTI, GitHub, IP 地址批量处理, Netcat, Nmap 扫描, SMB 协议, SOC 实验室, TCP UDP 扫描, VMware, Windows 10, Wireshark, Wireshark 抓包, 包分析, 协议分析, 句柄查看, 命令与控制, 安全运营中心, 密码管理, 恶意流量分析, 恶意软件行为, 插件系统, 攻击模拟, 数据展示, 数据统计, 权限提升, 漏洞修复, 端口扫描, 红队, 网络安全培训, 网络安全实验, 网络映射, 驱动签名利用