gabrielliaprotecting43/VendmoTech_Network_Traffic_Analysis

# 🔎 VendmoTech_Network_Traffic_Analysis - 发现网络流量中的威胁 [](https://github.com/gabrielliaprotecting43/VendmoTech_Network_Traffic_Analysis) ## 🧭 项目概述 VendmoTech_Network_Traffic_Analysis 是一个基于 Wireshark 的网络流量审查项目，围绕 Vendmo Tech 的一次实时 SOC 事件构建。它可以帮助你检查网络活动，发现真实攻击的迹象，并跟踪事件从开始到结束的完整流程。 本项目重点关注： - C2 beaconing - 数据窃取 - 端口扫描 - IOC 审查 - MITRE ATT&CK 映射 - 攻击时间线分析 它被设计为一个蓝队和 SOC 作品集项目。其目标是帮助你了解网络中发生了什么，攻击者接触了哪些内容，以及哪些迹象指向事件的每个阶段。 ## 📥 下载并打开项目 使用此链接访问项目页面并下载或打开文件： https://github.com/gabrielliaprotecting43/VendmoTech_Network_Traffic_Analysis 如果你的浏览器显示了 GitHub 页面，请使用该页面上的绿色 Code 按钮，然后选择 Download ZIP。下载完成后，将 ZIP 文件解压到一个你容易找到的文件夹中。 ## 🖥️ 环境要求 在开始之前，请确保你具备： - 一台 Windows 电脑 - 已安装 Wireshark - 一个文件解压工具，例如 Windows 内置的解压功能 - 足够的可用磁盘空间来存放 2.3 GB 的 PCAP 文件 - 一个能够正常显示大量数据包列表的屏幕 推荐配置： - Windows 10 或 Windows 11 - 8 GB RAM 或更多 - 现代 CPU - 至少 5 GB 的可用空间 如果尚未安装 Wireshark，请先安装，然后打开本项目中的 PCAP 文件。 ## 🚀 快速开始 在 Windows 上按照以下步骤操作： 1. 打开上面的项目链接。 2. 将仓库下载为 ZIP 文件。 3. 将 ZIP 文件保存到你的 Downloads 文件夹。 4. 右键点击 ZIP 文件并选择 Extract All（全部提取）。 5. 打开解压后的文件夹。 6. 找到 PCAP 文件以及任何笔记、报告或辅助文件。 7. 如有需要，安装 Wireshark。 8. 打开 Wireshark。 9. 使用 File > Open（文件 > 打开）并选择该 PCAP 文件。 10. 等待抓包文件加载。大文件可能需要一段时间。 11. 使用数据包列表、数据包详细信息 和数据包字节窗格来审查流量。 12. 在检查流量的同时，按照项目文件中的时间线和发现进行跟踪。 ## 🪛 在 Windows 上如何运行 本项目不需要命令行设置。你只需在 Wireshark 中打开抓包文件即可运行。 ### 步骤 1. 从 GitHub 下载项目。 2. 解压文件。 3. 打开 Wireshark。 4. 打开 PCAP 文件。 5. 等待 Wireshark 完成抓包加载。 6. 使用搜索和过滤工具检查流量模式。 ### 实用的 Wireshark 操作 - 按 IP 地址过滤流量 - 按域名过滤 - 按 TCP 端口过滤 - 检查数据包时间间隔 - 跟踪 TCP 流 - 检查 DNS 查询 - 检查 HTTP 和 HTTPS 会话 ## 🔍 你将发现什么 此分析包含对一次模拟事件的全面审视。你可以利用它来研究攻击者如何在网络中移动，以及防御者如何发现它。 预期发现包括： - 具有重复流量的 C2 beaconing 模式 - 数据流出网络的迹象 - 针对多台主机或端口的端口扫描 - 与正常流量相比显得可疑的连接 - 有助于揭示主机名和端点的 DNS 活动 - 与已知攻击阶段匹配的数据包模式 ## 🧩 包含的分析内容 本仓库包含支持完整事件审查的材料： - 8 项与事件相关的发现 - 10 个失陷指标 - MITRE ATT&CK v14 映射 - 攻击时间线 - 网络取证笔记 - 蓝队风格审查要点 - SOC 分析师参考资料 ## 🧠 如何阅读抓包文件 如果你是数据包分析新手，请按以下简单顺序进行： 1. 从攻击时间线开始。 2. 寻找异常的流量突发。 3. 检查是否有到同一地址的重复连接。 4. 审查 DNS 流量，查找奇怪的主机名。 5. 寻找大量上传或重复的出站会话。 6. 检查跨越多个端口或主机的扫描。 7. 将你看到的内容与列出的 IOC 进行匹配。 8. 使用 MITRE 映射将每个事件放入攻击流程中。 ## 🛠️ 常用 Wireshark 过滤器 这些过滤器可以帮助你探索抓包内容： - `ip.addr == x.x.x.x` — 显示某台主机的流量 - `tcp.port == 80` — 显示 HTTP 流量 - `udp.port == 53` — 显示 DNS 流量 - `http` — 显示 HTTP 数据包 - `dns` — 显示 DNS 数据包 - `tcp.flags.syn == 1 and tcp.flags.ack == 0` — 帮助发现扫描活动 - `frame contains "beacon"` — 在数据包中搜索已知文本 使用项目笔记将过滤结果与事件经过联系起来。 ## 🧾 失陷指标 该仓库以 10 个 IOC 为核心，帮助识别攻击。这些可能包括： - 可疑 IP 地址 - 奇怪的域名 - 重复的请求间隔 - 意外的文件传输迹象 - 异常的 User-Agent 字符串 - 已知的恶意端口 - 与攻击者控制相关的主机名 - 暗示 beaconing 的小型、规律数据包 - 大型出站传输 - 类似扫描的连接模式 ## 🗺️ MITRE ATT&CK 映射 该分析将活动映射到 MITRE ATT&CK v14，以便你可以了解哪些战术和技术适用于事件的每个阶段。 此处涵盖的常见阶段： - 侦察 - 初始访问 - 命令与控制 - 窃取 - 发现 - 扫描 这有助于你以清晰的方式将数据包证据与攻击者行为联系起来。 ## 📂 项目重点领域 本仓库适用于： - 蓝队练习 - SOC 面试准备 - 抓包文件审查 - 威胁搜寻练习 - 事件响应研究 - 网络取证学习 - Wireshark 实操 ## 🪄 文件和文件夹使用 解压 ZIP 文件后，请查找以下文件： - PCAP 文件 - 发现文档 - IOC 列表 - 时间线文件 - 报告或笔记文件夹 - 辅助截图或参考文件 如果你需要了解背景，请先打开文本或文档文件，然后在 Wireshark 中打开 PCAP。 ## 🔐 在 Windows 上的安全使用 在你自己的计算机上使用文件的本地副本。将 PCAP 保存在具有足够空间的驱动器上。如果 Wireshark 要求更新大型抓包的文件视图，请让其完成后再应用过滤器。 ## 🧰 简单故障排除 如果你在打开项目时遇到问题： - 确保 ZIP 文件已下载完成 - 检查文件是否已解压 - 确认 Wireshark 已安装 - 尝试从 Wireshark 内部再次打开 PCAP - 如果文件加载缓慢，请关闭其他大型应用程序 - 如果项目文件夹位于网络共享上，请将其移动到本地驱动器 如果打开抓包文件需要时间，请在加载完成后再使用过滤器。 ## 📈 为什么这个项目很重要 本项目为你提供了网络攻击在数据包数据中呈现样貌的真实视图。你可以看到微小的迹象（如重复流量或扫描模式）如何揭示更大的事件。它还展示了 SOC 工作如何依赖于数据包审查、IOC 跟踪和清晰的事件记录。 ## 🏷️ 主题 blue-team, c2-detection, cybersecurity, data-exfiltration, fintech, incident-response, ioc, mitre-attack, network-forensics, network-security, packet-analysis, soc-analyst, threat-detection, wireshark

标签：AMSI绕过, Beacon Object File, C2信标, Cloudflare, DAST, DNS 反向解析, IOC, IP 地址批量处理, MITRE ATT&CK, PB级数据处理, PCAP分析, TGT, Wireshark, 入侵分析, 句柄查看, 域名收集, 威胁检测, 安全运维, 安全运营中心, 密码管理, 恶意软件分析, 攻防演练, 数字取证, 数据渗出, 数据统计, 端口扫描, 网络安全, 网络安全实训, 网络映射, 自动化脚本, 隐私保护