Mulugeta70/Project13-Malware-C2-traffic-analysis

🛡️ 恶意软件 C2 流量分析 📌 项目概述 本项目侧重于分析现实世界中的恶意软件网络流量，旨在了解受感染系统如何与命令控制 (C2) 服务器进行通信。我们没有直接执行恶意软件，而是使用了公开可用的 PCAP 数据集，这些数据集模拟了真实的攻击场景。 我们的目标是识别恶意通信中的模式，检测信标 (beaconing) 行为，提取有用的失陷指标 (IOC)，并构建可用于真实网络环境的检测规则。 该项目帮助我们从防御的角度看待网络安全——像调查可疑流量并构建检测机制的分析师那样思考。 🎯 我们的目标 总的来说，我们希望回答几个关键问题： 恶意软件如何与其 C2 服务器通信？ 我们能仅通过观察网络流量就检测出信标模式吗？ 我们可以提取哪些类型的指标并实际用于检测？ 我们如何将发现转化为实际的检测规则？ 🧰 使用的工具 我们有意识地使用了在现实安全环境中常见的工具： Wireshark → 用于手动检查数据包级别的流量 Zeek → 用于生成结构化日志以进行更深入的分析 Suricata → 用于创建和测试检测规则 Python (pandas, matplotlib) → 用于时序分析和可视化 公共 PCAP 数据集 → 来自 malware-traffic-analysis.net ## 📂 项目结构 为了保持工作流程清晰，我们是按以下方式组织内容的： ``` Project13-C2/ ├── pcaps/ # Raw PCAP datasets ├── zeek_logs/ # Logs generated by Zeek ├── suricata/ │ ├── rules/ # Custom detection rules │ └── outputs/ # Alert outputs ├── python/ # Analysis scripts ├── iocs/ # Extracted indicators of compromise ├── screenshots/ # Evidence (Wireshark, charts, etc.) ├── report/ # Final report └── README.md ```

标签：AMSI绕过, C2通信分析, DAST, IP 地址批量处理, Metaprompt, PCAP分析, Python, Rootkit, SOC分析, Suricata, Wireshark, Zeek, 信标检测, 句柄查看, 命令与控制, 妥协指标, 威胁情报, 威胁检测, 安全运营, 密码管理, 开发者工具, 恶意流量, 恶意软件分析, 扫描框架, 数字取证, 无后门, 现代安全运营, 网络安全, 自动化脚本, 规则编写, 逆向工具, 配置审计, 隐私保护