tripti-45/Network-Forensics-Hawkeye

# SOC 网络取证调查 ## 📌 项目概述 本项目记录了一次针对由 **HawkEye Keylogger (Reborn v9)** 恶意软件导致的凭据窃取事件的完整 **SOC 调查**过程。 使用捕获的网络流量文件 (`.pcap`)，我利用行业标准蓝队工具重构了整个攻击生命周期——从初始钓鱼投放到数据窃取。目标是识别所有 **妥协指标**，追踪攻击者的基础设施，并提取通过网络传输的被盗凭据。 此类分析是 **SOC 分析师、威胁猎手 和 DFIR (数字取证与事件响应)** 专业人员在真实环境中日常工作的一部分。 ## 🎯 目标 - 分析原始网络流量以识别恶意活动 - 重构从感染到数据窃取的攻击链 - 提取并记录所有妥协指标 - 识别恶意软件家族、版本及 C2 基础设施 - 恢复通过网络传输的被盗凭据 ## 🛠 工具与技术 | 工具 | 用例 | |------|----------| | **Wireshark** | 深度包检测、协议过滤、流跟踪 | | **NetworkMiner** | 被动流量分析、自动文件及凭据提取 | | **CyberChef** | 解码 Base64 编码的 SMTP 认证字符串 | | **VirusTotal** | 文件哈希查询、威胁情报、AV 检测 | ## 🔬 展示的技术技能 - **协议分析** — TCP、DNS、HTTP、SMTP 数据包级别的剖析 - **凭据提取** — 从 SMTP 流中恢复 Base64 编码的凭据 - **文件雕刻** — 从 HTTP 流中提取恶意可执行文件 - **威胁情报** — 通过 VirusTotal 进行基于哈希的恶意软件识别 - **IoC 文档化** — 结构化的事件调查报告 ## 📂 项目结构 ``` 📁 network-forensics-hawkeye/ ├── 📄 README.md → This document ├── 📄 investigation-report.md → Full forensic investigation report ├── 📁 iocs/ │ └── iocs.md → Indicators of Compromise (IoCs) ├── 📁 analysis/ │ ├── attack-timeline.md → Reconstructed attack timeline ├── 📁 tools-used/ │ └── wireshark-filters.md → All filters and techniques used └── 📁 screenshots/ └── (analysis screenshots) → Evidence from the investigation ``` ## 🧩 攻击链摘要 ``` [1] DELIVERY └─ Victim receives phishing email with fake invoice link [2] DOWNLOAD └─ Victim clicks link → Downloads "tkraw_Protected99.exe" [3] EXECUTION └─ Malware silently installs HawkEye Keylogger v9 on victim machine [4] RECONNAISSANCE └─ Malware contacts bot.whatismyipaddress.com to get victim's public IP [5] CREDENTIAL HARVESTING └─ Keylogger steals stored browser passwords (Chrome, etc.) └─ Captures keystrokes and form data [6] EXFILTRATION └─ Every ~10 minutes: stolen data emailed to attacker's SMTP server └─ Protocol: SMTP | Port: 587 | Auth: Base64 encoded credentials └─ C2 Domain: macwinlogistics.in | C2 IP: 23.229.162.69 (USA) ``` ## 🚨 关键发现 ### 受害主机 | 属性 | 值 | |----------|-------| | 内部 IP | `10.4.10.132` | | 主机名 | `BEIJING-5CD1-PC` | | MAC 地址 | `00:08:02:1c:47:ae` | | 用户名 | `roman.mcguire` | ### 恶意软件 | 属性 | 值 | |----------|-------| | 文件名 | `tkraw_Protected99.exe` | | 家族 | HawkEye Keylogger | | 版本 | Reborn v9 | | AV 检测 | `Spyware.HawkEyeKeyLogger` (Malwarebytes) | ### 攻击者基础设施 (C2) | 属性 | 值 | |----------|-------| | C2 域名 | `macwinlogistics.in` | | C2 IP | `23.229.162.69` | | 位置 | 美国 | | 窃取方式 | SMTP (电子邮件) | ### 恢复的被盗凭据 | 平台 | 用户名 | 密码 | |----------|----------|----------| | SMTP / 电子邮件 | `roman.mcguire@macwinlogistics.in` | `P@ssw0rd$` | | Bank of America | `roman.mcguire` | `P@ssw0rd$` | ## 📊 网络流量统计 | 指标 | 值 | |--------|-------| | 捕获的总数据包数 | 4,003 | | 捕获开始时间 | 2019-04-10 20:37:07 UTC | | 捕获结束时间 | 2019-04-10 21:40:48 UTC | | 总持续时间 | 1 小时 3 分钟 41 秒 | ## 🔑 使用的关键 Wireshark 过滤器 ``` # 隔离受害机器流量 ip.addr == 10.4.10.132 # 通过 DHCP 识别受害主机名 ip.addr == 10.4.10.132 && dhcp # 查找恶意软件下载 http # 查找数据渗出流量 smtp # DNS C2 解析 dns ``` ## 🧠 MITRE ATT&CK 映射 - 初始访问：钓鱼攻击 - 执行：恶意文件下载 - 命令与控制：外部通信 - 窃取：通过 HTTP 进行数据传输 ## 📝 SOC 调查摘要 该恶意软件通过一封针对会计的鱼叉式网络钓鱼邮件投递，附带虚假发票。一旦执行，**HawkEye Keylogger Reborn v9** 便会静默地从 Chrome 浏览器收集保存的凭据，并每 10 分钟通过 SMTP 将其发送给攻击者。被盗数据包括美国银行的银行凭据。 整个攻击——从初始入侵到重复的数据窃取——在一个约一小时的网络会话内完成，展示了现代基于键盘记录器的凭据窃取攻击的速度与隐蔽性。 ## 💡 防御建议 1. **邮件过滤** — 阻止带有可执行文件下载链接的钓鱼邮件 2. **EDR/AV** — 端点检测会在执行时捕获 `tkraw_Protected99.exe` 3. **SMTP 监控** — 对发往异常域名的出站 SMTP 发出警报 4. **DNS 监控** — 阻止/对新注册的域名（如 `macwinlogistics.in`）发出警报 5. **浏览器加固** — 在公司机器的浏览器中禁用保存密码功能。 ## 👤 关于我 **Tripti Pal** 有抱负的 SOC 分析师 | 蓝队 | 网络安全爱好者 热衷于威胁检测、网络取证和事件响应。 [](https://linkedin.com/in/tripti-pal-) [](https://github.com/tripti-45)

标签：Ask搜索, Base64解码, CyberChef, DAST, DNS, ETW绕过, HawkEye Keylogger, HTTP工具, IOC, NetworkMiner, OpenCanary, PCAP, SMTP分析, TCP, VirusTotal, Wireshark, 二进制模式, 协议分析, 句柄查看, 威胁情报, 库, 应急响应, 开发者工具, 恶意软件分析, 数字取证, 数据外泄, 数据渗漏, 文件提取, 权限提升, 溯源分析, 网络侦查, 网络信息收集, 网络安全, 自动化脚本, 邮件钓鱼, 键盘记录器, 隐私保护