ianwong123/malware-traffic-analysis

# 执行摘要 SIEM 检测到源自外部 IP 45.131.214.85 (TCP/443) 的 NetSupport Manager RAT 流量签名匹配，始于 2026-02-28 19:55 UTC。数据包捕获分析在 10.2.28.0/24 网段识别出一台受感染的 Windows 主机。建议立即对主机 10.2.28.88 采取遏制措施。 ## 背景 作为安全运营中心 (SOC) 中积极进取的一员，你检查了安全信息和事件管理 (SIEM) 系统，发现来自 45.131.214\[.\]85 通过 TCP 端口 443 的 NetSupport Manager RAT 的多次签名命中。该活动始于 2026-02-28 19:55 UTC。 利用此信息，你迅速从触发这些警报的内部 IP 地址提取了流量数据包捕获。现在全靠你了！你需要撰写一份事件报告，以便相关人员追踪受感染的计算机并制止这种恶意行为！ 你的环境特征如下： | 参数 | 值 | | ----------------- | ---------------------- | | LAN 范围 | 10.2.28.0/24 | | 域名 | easyas123.tech | | AD Forest | EASYAS123 | | 域控制器 | 10.2.28.2 (EASY123-DC) | | 网关 | 10.2.28.1 | 来源: ## 工具 本次 pcap 网络分析练习使用 Wireshark 完成。 ## 受害者识别 | 字段 | 值 | 发现方式 | | ----------------- | ------------------- | -------------------------------------------- | | IP 地址 | 10.2.28.88 | 基于 45.131.214.85 过滤的会话统计 | | MAC 地址 | 00:19:d1:b2:4d:ad | 数据包详情中的 Ethernet II 首部 | | 主机名 | DESKTOP-TEYQ2NR | NBNS 名称查询响应 | | 用户账户名 | brolf | Kerberos CNameString 字段 | | 用户全名 | Becka Rolf | 在数据包详情中搜索 'rolf' | ## 方法论与分析 给定源 IP 地址 45.131.214.85，我们首先通过 `ip.addr == 45.131.214.85` 过滤显示内容。然后进入 `Statistics -> Conversations`，发现该源正在与目的地址 `10.2.28.88` 通信。 通过展开 Ethernet II 部分，受害者的 MAC 地址被识别为 `00:19:d1:b2:4d:ad`。Ethernet II 指的是数据链路层。 由于使用了 Active Directory 和域控制器，环境背景为 Windows 操作系统。有了这些知识，我们可以利用 Windows NBNS (NetBios Name Service) 协议解析受害者的 IP 地址以找到主机名。 要查找用户账户名，我们可以使用 `Kerberos.CNameString`，它会返回 "brolf"。请注意，Kerberos 是用户登录或访问网络资源时 AD 的默认身份验证协议；CName (Client Name) 是在初始握手期间以明文形式发送到 Kerberos 的 AS-REQ (Authentication Service Request) 数据包中的一个字段。 要查找全名，我们使用数据包详情/字节功能，发现受害者的全名是 Becka Rolf。 请注意，Kerberos CNameString 字段仅保存用户的短名称 'rolf'。全名也可以通过 LDAP (Lightweight Directory Access Protocol) 找到，该协议通常包含关于用户的更多上下文丰富信息，例如电子邮件、部门、全名等。 ## 术语表 Active Directory (AD): 一种集中式 Windows 服务，包含用于管理网络中用户和计算机的资源，包括：IAM、策略、RBAC、身份验证、授权等。 Domain Controller: 运行 AD DS 以处理身份验证 和目录查询的服务器。 NBNS: NetBios Name Service 是一种旧版 Windows 协议，用于在 UDP/137 上将 IP 地址解析为主机名，反之亦然。 Kerberos: 一种用于在网络中对用户进行身份验证的 Windows 协议。 Lightweight Directory Access Protocol: 一种用于查询 Active Directory 数据库的协议。 ## 学习笔记 Kerberos 是一种用于验证用户身份的 Windows 协议。在获得 Kerberos 票据之前，字段通常在初始请求期间以明文形式发送。 特权属性证书 是嵌入在 Kerberos 票据（特别是 TGT 票据/服务票据）中的隐藏数据结构。它包含用户的 SID (Security ID)、组成员身份等，并随用户移动。我们可以将其想象为成功验证后的会话 cookie + JWT。PAC 包含授权数据，每次你想访问受保护资源时，这些数据都会随请求一起传输。由于所有内容都在令牌本身中，因此服务器 (AD 服务) 不需要在用户每次发出请求时都查询域控制器。 Lightweight Directory Access Protocol 是一种用于查询 Active Directory 数据库的协议。我们可以将此协议视为针对 AD 的 SQL，因为它包含关于用户的信息和详细信息，例如全名、电子邮件等。它对攻击者绘制网络地图很有用，防御者也用它来查看查询了什么内容。 简而言之，Kerberos 告诉你谁登录了，而 LDAP 告诉你关于该用户的信息。

标签：Checkov, Conpot, DAST, HTTP, HTTP/HTTPS抓包, IP 地址批量处理, NetSupport Manager, PCAP分析, RAT, Terraform 安全, Windows安全, Wireshark, 句柄查看, 威胁情报, 安全运营中心, 并发处理, 库, 应急响应, 开发者工具, 态势感知, 恶意软件分析, 数字取证, 渗透测试报告, 漏洞分析, 网络安全, 网络映射, 自动化脚本, 自定义DNS解析器, 蓝队演练, 路径探测, 隐私保护