sainipranjali06/soc-malware-traffic-analysis
GitHub: sainipranjali06/soc-malware-traffic-analysis
这是一个SOC分析师实战项目,通过Wireshark分析恶意软件PCAP流量以提取IOC并生成事件响应报告。
Stars: 0 | Forks: 0
# 恶意软件网络流量分析
## 概述
使用 Wireshark 分析了包含 15,000+ 个数据包的 PCAP 文件,涵盖真实世界中的恶意软件感染场景。提取了 IOC 并撰写了事件响应报告,重构了完整的攻击时间线。
## 使用的工具
- Wireshark / tshark
- VirusTotal
- WHOIS lookup
## 场景
| 场景 | 恶意软件家族 | 发现的 IOC |
|----------|---------------|------------|
| 场景 1 | NetSupport RAT | 8 |
| 场景 2 | TBD | TBD |
## 主要发现
- 识别到 NetSupport RAT C2 通信目标为 45.131.214.85
- 提取了 8 个 IOC,包括 C2 IP、URL、User-Agent 和 MAC 地址
- 将攻击映射到 MITRE ATT&CK 技术
## MITRE ATT&CK 映射
| 技术 | ID | 描述 |
|-----------|-----|-------------|
| Remote Access Tool | T1219 | NetSupport RAT 用于持久访问 |
| Application Layer Protocol | T1071.001 | 通过 HTTP 进行 C2 通信 |
| System Network Config Discovery | T1016 | 内部 LDAP/SMB 侦察 |
标签:Ask搜索, C2通信, Cloudflare, DAST, HTTP流量, IOC提取, MITRE ATT&CK, NetSupport RAT, PCAP分析, SOC分析, VirusTotal, WHOIS查询, Wireshark, 协议探测, 句柄查看, 后渗透, 威胁情报, 库, 应急响应, 应用层协议, 开发者工具, 恶意软件分析, 系统网络配置发现, 网络安全, 自定义DNS解析器, 远程访问木马, 隐私保护