simisolajnr30/Threat-Hunting-Reconnaissance-Suspicious-HTTP-Activity-Analysis

# 威胁狩猎-侦察-可疑-HTTP-活动-分析 在本项目中，我使用 Splunk 对 botsv2 数据集中的 HTTP 流量进行了威胁狩猎。目标是识别可疑行为，调查异常情况，并确定是否发生了恶意活动。 ## **所用工具** - Splunk - OSINT (Google, AbuseIPDB, IPinfo) - HTTP 日志分析 **我做了什么** 1 . 识别可用数据 - 我首先使用 METADATA 检查了 Splunk 中的可用日志 ``` | metadata type=sourcetypes index=botsv2 ``` 2 . 聚焦 HTTP 流量 - 用于分析 Web 流量 ``` index=botsv2 sourcetype=stream:http ``` 3 . 锁定特定网站 - 将范围缩小到一个特定网站 ``` index=botsv2 sourcetype=stream:http site="www.froth.ly" ``` 4 . 分析 User Agent - 识别异常客户端 ``` index=botsv2 sourcetype=stream:http site="www.froth.ly" | stats count by http_user_agent | sort +count ``` - 我注意到一个名为 "Naenara Browser" 的奇怪 User Agent，看起来很不寻常。 5 . 调查 User Agent * 使用 OSINT 进行研究： - 我对其进行了调查，发现它是一种与朝鲜有关的罕见浏览器 - 观察到它运行在 Linux 机器上 * 这很不寻常，并标记为需要深入调查。 6 . 透视到源 IP - 我识别出了产生可疑流量的 IP： ``` | stats count src_ip ``` - 发现 IP: 85.203.47.86 向该网站发出了 51 次请求，这看起来很可疑，需要进一步调查 7 . 执行威胁情报检查 使用： - IPinfo - AbuseIPDB 发现： - 该 IP 关联到丹麦的 Express VPN 服务 - 在数据库中被找到，且已被报告 63 次 8 . 调查用户活动 发现该用户： - 访问了目标网站 - 下载了一个文件：company_contacts.xlsx - 可能是数据渗出或侦察活动 ## **结果** - 识别出可疑 HTTP 流量 - 检测到异常 User Agent (Naenara Browser) - 追踪活动

标签：AbuseIPDB, ESC4, HTTP日志, IP 地址批量处理, OSINT, VPN检测, 后渗透, 异常检测, 恶意活动分析, 数据窃取, 数据集分析, 用户代理检测, 网络安全, 网络安全审计, 隐私保护