Yashita05420/Malware-traffic-Analysis-in-Wireshark

# Wireshark 中的恶意流量分析 # 目标 : 1.在 Wireshark 中分析可疑流量 2.发现恶意软件行为 3.提取 IOCs (入侵指标) 4.撰写预防建议 ## 步骤 1: 首先我们从 Malware-Traffic-Analysis.net 下载一个 pcap 文件 在 wireshark 中打开文件 现在数据包将会加载 ## 步骤 2: 我们通过了解使用了什么协议来分析流量 转到 : statistics-> protocol hierarchy 检查: HTTP , DNS , TCP , UDP , FTP 等. 恶意软件经常使用: DNS 进行域名查询 HTTP 进行 payload 下载 TCP 进行 C2 通信 恶意软件活动期间协议的行为 : DNS - 奇怪的域名 , 长随机子域名 , 恶意软件使用 DNS 进行隐藏通信 HTTP - 分析 GET 和 POST 请求 , 带有长数据的 POST 请求以及带有 exe 文件的 GET 请求 TCP - 与同一 IP 的重复连接 , 定时流量 , 异常端口 UDP - 高 UDP 流量 , 未知服务 SMB - 意外的文件传输 , 管理员登录尝试 , 访问共享驱动器 FTP - 未知文件传输 , 明文凭证 ICMP - 大 ICMP 数据包 , 频繁 ping 外部 IP .png) 在上面的截图中，我们看到 TCP 流量很高，需要进行分析 ## 步骤 3: 查找可疑 IP 地址 ## 步骤 3:

标签：AMSI绕过, C2通信, DAST, DNS分析, HTTP分析, ICMP隧道, IoC提取, IP 地址批量处理, PCAP分析, SMB分析, Wireshark, 协议分析, 句柄查看, 威胁情报, 威胁检测, 安全教育, 开发者工具, 异常检测, 恶意流量, 恶意软件分析, 权限提升, 样本分析, 渗透测试防御, 网络安全, 隐私保护