Sai-shashank-2005/soc-traffic-analysis

# SOC流量分析实验室 ## 概述 本仓库记录了使用类似 SOC 工作流程进行的多次真实网络流量调查。每个案例模拟分析师驱动的事件响应，重点在于识别恶意活动、重构攻击链以及生成基于证据的安全报告。 该工作反映了对 PCAP 数据进行分析、验证威胁以及对受感染系统和用户进行归因的实际经验。 ## 关键能力 * 通过网络流量分析检测恶意活动 * 从初始访问到命令与控制（C2）重构攻击链 * 识别受感染主机并进行用户归因 * 区分良性与恶意网络行为 * 分析真实世界的恶意软件家族（NetSupport RAT、TrickBot、Lumma 窃取器） * 开发结构化的、基于证据的事件报告 ## 案例亮点 | 案例 | 恶意软件 | 关键结果 | | ------ | -------------- | ------------------------------------------------------------------------ | | 案例 1 | NetSupport RAT | 识别远程访问活动和信标行为 | | 案例 2 | TrickBot | 重构完整感染链并通过非常规端口进行 C2 通信 | | 案例 3 | Lumma 窃取器 | 检测受害者指纹识别并完成完整的主机/用户归因 | ## 调查方法 每个案例遵循一致的 SOC 调查方法论： 1. 警报或异常识别 2. 流量范围界定与过滤 3. 指标跳转（IP、域名、文件工件） 4. 行为分析与模式识别 5. 攻击链重构 6. 资产与用户归因 7. 影响评估与响应建议 ## 仓库结构 ``` soc-traffic-analysis/ ├── case-1-netsupport-rat/ ├── case-2-trickbot/ ├── case-3-lumma-fingerprinting/ │ ├── screenshots/ │ └── report.md ``` 每个案例包含： * 详细的事件报告 * 支持的分包级证据（截图） * 与 SOC 工作流程一致的记录分析 ## 工具与技术 * 使用 Wireshark 进行分包级分析 * 威胁情报验证（VirusTotal） * 协议分析（DNS、HTTP、TLS、TCP） * 行为检测与流量模式分析 ## 关键观察 * 恶意软件经常利用合法协议（HTTP/TLS）来逃避检测 * 行为分析比仅依赖静态指标更可靠 * 准确的时间线重建对于理解攻击进展至关重要 * 有效的过滤对于区分良性流量与恶意活动必不可少 ## 专业背景 本工作展示了 SOC 分析师的实际能力，包括： * 结构化的调查方法论 * 基于证据的推理与验证 * 清晰简洁的事件报告 * 聚焦真实世界的检测与分析场景 ## 作者 Sai Shashank P SOC 分析师 专注于威胁检测、事件响应与网络流量分析

标签：C2通信, DNS 解析, HTTP工具, IOC分析, IP 地址批量处理, Lumma Stealer, NetSupport RAT, PCAP分析, TrickBot, 主机取证, 安全报告, 底层编程, 异常检测, 攻击链重建, 用户 attribution, 网络安全, 网络安全审计, 网络行为分析, 证据分析, 隐私保护