jackjeeva1503/Malware-Analysis

# STRRAT 恶意流量分析 — “你这个肮脏的 RAT！” ## 📖 博客 / 报告 请在任意浏览器中打开 **[blog.html](./blog.html)** 以阅读包含全部 20 条带注释的 Wireshark 推断和截图的完整分析报告。 ## 📁 仓库结构 ``` ├── blog.html # Main analysis report (open in browser) ├── wireshark_filters.txt # All 20 Wireshark filters with screenshot tips ├── README.md │ ├── inference_screenshot/ # 20 Wireshark screenshots (referenced by blog.html) │ ├── 1.png … 20.jpeg │ └── architecture_diagram.jpeg │ ├── charts/ # Python-generated traffic analysis graphs │ ├── c2_communication_pattern.png │ ├── c2_vs_human_traffic_comparison.png │ ├── incident_summary_dashboard.png │ ├── interval_statistics_evidence.png │ ├── network_flows_by_bandwidth.png │ ├── traffic_load_categories.png │ └── ... │ ├── scripts/ # Python analysis scripts │ ├── analyze_pcap.py │ ├── deep_analysis.py │ ├── professional_analysis.py │ ├── throughput_analysis.py │ └── beacon_vs_human_traffic.py │ ├── docs/ # Supporting documentation │ ├── INCIDENT_REPORT.md │ ├── HOW_TO_FIND_30_INCIDENTS.md │ ├── MALWARE_INCIDENTS_LOG.md │ ├── MALWARE_EVIDENCE_PRESENTATION.md │ ├── VERIFICATION_GUIDE.md │ └── FACULTY_PRESENTATION_GUIDE.md │ └── pcap/ # Original packet capture file └── 2024-07-30-traffic-analysis-exercise.pcap ``` ## 🔍 关键发现（20 条推断） | # | 推断 | 严重性 | |---|------|--------| | 1 | 通过 GitHub 初始恶意 staging | 🟠 高 | | 2 | 通过 ip-api.com 自动化的 IP 侦察 | 🟡 中 | | 3 | HTTP 响应中的外部身份泄露 | 🟡 中 | | 4 | C2 通道建立（帧 9119） | 🔴 严重 | | 5 | 恶意自识别：“STRRAT” 签名 | 🔴 严重 | | 6 | 受害者主机名泄露：DESKTOP-SKBR25F | 🟠 高 | | 7 | 受害者用户名泄露：ccollier | 🟠 高 | | 8 | 操作系统画像：Windows 11 Pro | 🟠 高 | | 9 | 安全软件检测：Windows Defender | 🟠 高 | | 10 | 精确的 5 秒心跳节拍（自动化证据） | 🔴 严重 | | 11 | 紧密间隔聚类（σ = 0.16s） | 🔴 严重 | | 12 | 唯一机器指纹（HWID: 1BE8292C） | 🟠 高 | | 13 | 持续访问 10 分钟（102 次心跳） | 🔴 严重 | | 14 | 恶意吞吐量峰值分析 | 🟠 高 | | 15 | Kerberos AS-REQ 身份验证 | 🟠 高 | | 16 | 非标准 TCP 流：以端口 12132 为主 | 🟠 高 | | 17 | 异常协议层级（自定义 C2 协议） | 🟠 高 | | 18 | 与人类浏览行为对比（可视化证据） | 🟠 高 | | 19 | 流量负载分类（HEAVY 流量峰值） | 🟡 中 | | 20 | 完整的杀伤链完成 | 🔴 严重 | ## 🦠 恶意软件概述 | 属性 | 值 | |------|-----| | **恶意软件家族** | STRRAT v1.6（基于 Java 的 RAT） | | **受害者机器** | DESKTOP-SKBR25F（Windows 11 Pro 64 位） | | **受害者用户** | ccollier | | **受害者 IP** | 172.16.1.66 | | **C2 服务器** | 141.98.10.79:12132 | | **交付域名** | objects.githubusercontent.com | | **侦察端点** | http://ip-api.com/json/ | | **心跳计数** | 约 10 分钟内 102 次心跳 | | **心跳间隔** | 平均 5.03 秒（σ = 0.16s） | | **HWID** | 1BE8292C | ## 🛠️ 运行分析脚本 ``` pip install scapy matplotlib python scripts/analyze_pcap.py python scripts/throughput_analysis.py ``` ## 📦 PCAP 源 - **练习页面：** https://www.malware-traffic-analysis.net/2024/07/30/index.html - **下载（ZIP）：** https://www.malware-traffic-analysis.net/2024/07/30/2024-07-30-traffic-analysis-exercise.pcap.zip ## ⚠️ 免责声明 本仓库仅供 **教育和研究用途**。所有分析均在隔离的实验室环境中基于提供的练习 PCAP 进行。请勿在未经授权的生产网络中滥用这些技术。

标签：C2通信, GitHub恶意分发, HTTP流量分析, IP定位, PCAP分析, Python脚本分析, Wireshark, 代码示例, 句柄查看, 安全事件分析, 恶意流量分析, 恶意软件行为, 数据分析, 网络安全, 网络流量可视化, 逆向工具, 隐私保护