Tanmay-KS/Malware-Traffic-Forensics
GitHub: Tanmay-KS/Malware-Traffic-Forensics
本项目通过被动流量分析与行为建模,帮助识别恶意软件的C2通信与横向移动行为。
Stars: 0 | Forks: 0
# 🛡️ 恶意软件流量取证
**仓库描述:** > 使用 Wireshark 和 Scapy 进行恶意软件检测的被动网络流量分析。一项关于受感染 Windows 环境中 Beaconing、端口扫描和异常协议模式的行为研究。
## 🛡️ 恶意软件流量分析:行为方法
本项目专注于通过**被动网络流量分析**来识别恶意软件活动。通过检查受感染 Windows 主机的 PCAP 文件,我们无需执行任何恶意代码即可识别受损系统及其命令与控制 (C2) 通信。
## 🚀 概述
本分析采用分层方法,将**协议级检查**(DNS、HTTP、TCP)与吞吐量、数据包速率和突发性等**行为指标**相结合,以关联妥协指标。
## 🛠️ 使用的工具
* **Wireshark:** 深度数据包检查和协议分析。
* **Scapy (Python):** 用于流量参数的统计建模和自定义图表生成。
* **网络统计数据:** I/O 图表、会话和专家信息日志。
## 🔍 关键调查结果
### 1. 数字心跳
检测到以固定时间间隔(例如每 60 秒)发送的有节奏、低流量的 HTTP 请求。这种自动化的“回传”行为是 C2 植入物的典型特征。
### 2. 侦察与横向移动
* **端口扫描:** 识别出在几秒钟内针对数千个端口的高速 TCP SYN 洪泛。
* **SMB/NTLM 暴力破解:** 观察到 `STATUS_LOGON_FAILURE` 错误的大量激增,表明存在试图在网络内进行横向移动的行为。
### 3. 载荷暂存
捕获到端口 80 上可执行文件 (`.exe`) 的未加密 HTTP 文件传输,标志着将主要恶意软件载荷交付给主机的“暂存”阶段。
### 4. 流量异常
* **非对称数据流:** 明显的失衡,外部服务器向内部主机推送了大量数据(载荷分发)。
* **睡眠/唤醒周期:** 长时间的不活动状态,随后是突发的出站流量激增——这是高级威胁常用的一种规避策略。
## 📊 统计分析
使用 Scapy,我们将感染的“生命体征”进行了可视化:
* **吞吐量峰值:** 识别批量数据传输。
* **数据包大小分布:** 区分控制“闲聊”与数据“载荷”。
* **突发性:** 证明自动化的通信模式与人类交互的区别。
标签:DAST, IP 地址批量处理, PE 加载器, Python, Wireshark, 入侵检测, 句柄查看, 恶意软件分析, 插件系统, 数字取证, 无后门, 网络信息收集, 网络流量分析, 自动化脚本