Sonu5824/Wireshark-malware-traffic-analysis

# Wireshark 恶意流量分析 本项目演示使用 Wireshark 对真实世界恶意数据包捕获进行 SOC 风格的流量分析。 ## 项目目标 * 分析恶意 PCAP * 识别受感染主机 * 检测 C2 通信 * 提取 IOC * 映射到 MITRE ATT&CK * 创建 SOC 风格的事件报告 ## 使用的工具 * Wireshark * Kali Linux * TCP 流分析 * 网络流量分析 * MITRE ATT&CK 框架 ## 感染总结 **受感染主机：**10.2.28.88 **恶意软件：**NetSupport RAT **C2 服务器：**45.131.214.85 **C2 端点：**/fakeurl.htm **用户代理：**NetSupport Manager/1.3 受感染系统反复向远程服务器发送心跳请求并接收编码命令，确认了活跃的远程访问恶意软件。 ## 妥协指标 ### IP 地址 ``` 45.131.214.85 ``` ### C2 URL ``` http://45.131.214.85/fakeurl.htm ``` ### 用户代理 ``` NetSupport Manager/1.3 ``` ## MITRE ATT&CK 映射 * T1566 — 钓鱼 * T1059 — 命令执行 * T1071 — Web 协议 C2 * T1219 — 远程访问软件 * T1105 — 入站工具传输 ## 展示的技能 * 网络流量分析 * SOC 调查流程 * Wireshark 分析 * IOC 提取 * C2 检测 * 威胁狩猎 * MITRE ATT&CK 映射 ## 项目文件 * report.md — 完整事件报告 * iocs.txt — 妥协指标 * screenshots/ — 分析证据 ## 数据集来源 malware-traffic-analysis.net 本项目模拟了真实的 SOC 调查流程，并展示了实际的威胁检测和事件响应技能。

标签：ATT&CK映射, C2通信, Cloudflare, DAST, IOC提取, IP 地址批量处理, MITRE ATT&CK, NetSupport RAT, PCAP分析, TCP流分析, Web协议C2, Wireshark, 入侵指标, 入站工具传输, 句柄查看, 命令与控制, 安全运营中心, 恶意流量分析, 恶意软件分析, 感染主机, 数字取证, 网络信息收集, 网络取证分析, 网络安全, 网络映射, 网络流量分析, 自动化脚本, 远程访问软件, 速率限制处理, 钓鱼, 隐私保护