Tanmay-KS/Malware-Traffic-Forensics

GitHub: Tanmay-KS/Malware-Traffic-Forensics

本项目通过被动流量分析与行为建模,帮助识别恶意软件的C2通信与横向移动行为。

Stars: 0 | Forks: 0

# 🛡️ 恶意软件流量取证 **仓库描述:** > 使用 Wireshark 和 Scapy 进行恶意软件检测的被动网络流量分析。一项关于受感染 Windows 环境中 Beaconing、端口扫描和异常协议模式的行为研究。 ## 🛡️ 恶意软件流量分析:行为方法 本项目专注于通过**被动网络流量分析**来识别恶意软件活动。通过检查受感染 Windows 主机的 PCAP 文件,我们无需执行任何恶意代码即可识别受损系统及其命令与控制 (C2) 通信。 ## 🚀 概述 本分析采用分层方法,将**协议级检查**(DNS、HTTP、TCP)与吞吐量、数据包速率和突发性等**行为指标**相结合,以关联妥协指标。 ## 🛠️ 使用的工具 * **Wireshark:** 深度数据包检查和协议分析。 * **Scapy (Python):** 用于流量参数的统计建模和自定义图表生成。 * **网络统计数据:** I/O 图表、会话和专家信息日志。 ## 🔍 关键调查结果 ### 1. 数字心跳 检测到以固定时间间隔(例如每 60 秒)发送的有节奏、低流量的 HTTP 请求。这种自动化的“回传”行为是 C2 植入物的典型特征。 ### 2. 侦察与横向移动 * **端口扫描:** 识别出在几秒钟内针对数千个端口的高速 TCP SYN 洪泛。 * **SMB/NTLM 暴力破解:** 观察到 `STATUS_LOGON_FAILURE` 错误的大量激增,表明存在试图在网络内进行横向移动的行为。 ### 3. 载荷暂存 捕获到端口 80 上可执行文件 (`.exe`) 的未加密 HTTP 文件传输,标志着将主要恶意软件载荷交付给主机的“暂存”阶段。 ### 4. 流量异常 * **非对称数据流:** 明显的失衡,外部服务器向内部主机推送了大量数据(载荷分发)。 * **睡眠/唤醒周期:** 长时间的不活动状态,随后是突发的出站流量激增——这是高级威胁常用的一种规避策略。 ## 📊 统计分析 使用 Scapy,我们将感染的“生命体征”进行了可视化: * **吞吐量峰值:** 识别批量数据传输。 * **数据包大小分布:** 区分控制“闲聊”与数据“载荷”。 * **突发性:** 证明自动化的通信模式与人类交互的区别。
标签:DAST, IP 地址批量处理, PE 加载器, Python, Wireshark, 入侵检测, 句柄查看, 恶意软件分析, 插件系统, 数字取证, 无后门, 网络信息收集, 网络流量分析, 自动化脚本