jayhawkins108/2026-02-28---TRAFFIC-ANALYSIS-EXERCISE-EASY-AS-123---Solution

# 流量分析练习 - NetSupport Manager RAT 挑战 Malware-Traffic-Analysis.net 2026年2月28日挑战的解答。 ## 概述 **挑战来源：** [Malware-Traffic-Analysis.net](https://www.malware-traffic-analysis.net/2026/02/28/index.html) ### 场景 2026年2月28日 19:55 UTC，安全信息和事件管理 (SIEM) 系统检测到多个签名命中，表明 **NetSupport Manager RAT** 活动源自 **45.131.214.85**，通过 **TCP 端口 443**。 ### 网络环境 | 组件 | 详情 | |-----------|---------| | **LAN 网段范围** | 10.2.28.0/24 (10.2.28.0 – 10.2.28.255) | | **域名** | easyas123.tech | | **AD 环境** | EASYAS123 | | **域控制器** | 10.2.28.2 – EASYAS123-DC | | **网关** | 10.2.28.1 | | **广播地址** | 10.2.28.255 | ## 调查任务 ### 主要目标 | 问题 | |-----------| | 识别受感染 Windows 客户端的 IP 地址 | | 确定受感染 Windows 客户端的 MAC 地址 | | 识别受感染 Windows 客户端的主机名 | | 提取受感染 Windows 客户端的用户账户名 | | 查找与用户账户关联的全名 | ### [学术资料](2.Academics.md) - [x] [NetSupport Manager RAT 概述](2.Academics.md#netsupport-manager-rat-overview) - [x] [失陷指标](3.%20Detection%20Methods.md#known-iocs) - [x] [网络杀伤链分析](2.Academics.md#cyber-kill-chain-analysis) - [x] [MITRE ATT&CK TTP 映射](2.Academics.md#mitre-attck-mapping) ### [技术报告 - 检测方法](3.%20Detection%20Methods.md) - [x] [工具清单](3.%20Detection%20Methods.md#toolsets) - [x] [初步假设](3.%20Detection%20Methods.md#initial-hypothesis) - [x] [最终受害者归因表](3.%20Detection%20Methods.md#detection-summary--victim-attribution)

标签：Conpot, DAST, IoC提取, IP 地址批量处理, NetSupport Manager, PCAP分析, RAT, TCP流量分析, Windows安全, 子域枚举, 安全挑战, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 数字取证, 无线安全, 网络信息收集, 网络安全, 自动化脚本, 自定义DNS解析器, 远程控制木马, 隐私保护, 靶场Writeup