keyfive5/Threat-Hunting-Detecting-Telegram-Data-Exfiltration-via-PCAP-Analysis

# 威胁狩猎：通过PCAP分析检测Telegram数据外泄 ## 📌 概述 本项目演示了使用PCAP分析进行动手实战的**威胁狩猎调查**，以识别网络流量中的恶意活动。 本案例研究的重点是检测**通过Telegram Bot API进行的数据外泄**，这是一种攻击者常用于将恶意流量与合法加密通信混合的技术。 ## 🎯 目标 - 分析网络流量以识别可疑行为 - 确定主机是否已被入侵 - 调查潜在的数据外泄 - 基于观察到的攻击者活动开发检测洞察 ## 🧠 威胁狩猎背景 威胁狩猎是一种**主动搜索隐藏威胁**的过程，而不是等待告警。 :contentReference[oaicite:0]{index=0} 本项目遵循这种思维方式，假设系统已被入侵并主动调查异常流量模式。 ## 🔍 关键发现 - **被入侵主机：**192.168.100.7 - **目标地址：**api.telegram.org（149.154.167.220） - **协议：**HTTPS（TLS加密） - **外泄方法：**Telegram Bot API（`/sendMessage`） - **数据格式：**JSON（`application/json`） ### 🚨 识别出的可疑行为 - 重复的DNS查询指向Telegram基础设施 - 指向Telegram API的加密HTTPS会话 - 发送结构化数据的HTTP POST请求 - 使用Telegram机器人令牌进行通信 Telegram Bot API经常被攻击者滥用于命令与控制（C2）和数据外泄，因为它通过HTTPS运行并能融入正常流量。 :contentReference[oaicite:1]{index=1} ## 🧪 分析流程 1. 将PCAP文件加载到Wireshark中 2. 使用过滤条件：`ip.addr == 149.154.167.0/24` 过滤流量 3. 识别可疑的TLS会话 4. 使用SSL密钥日志解密HTTPS流量 5. 检查HTTP数据流 6. 检测到指向Telegram Bot API的POST请求 7. 确认数据外泄行为 ## ⚔️ 观察到的攻击者技术 - **命令与控制（C2）：**通过Telegram API进行通信 - **加密外泄：**使用HTTPS/TLS规避检测 - **利用合法服务：**滥用可信平台（Telegram） - **基于脚本的执行：**有使用PowerShell的证据 这些技术与现实世界攻击者的行为一致，即利用合法服务以规避检测。 ## 🛠️ 工具与技术 - Wireshark - PCAP分析 - TLS解密（SSL密钥日志） - Suricata（检测规则） - Flowsynth（流量模拟） ## 🧬 检测工程 开发了Suricata规则以检测与以下内容相关的利用尝试： - **CVE-2025-6771（Ivanti EPMM RCE）** - 恶意HTTP POST请求 - 命令注入模式 此外，使用Flowsynth生成了模拟攻击流量以验证检测逻辑。 ## 🧪 流量模拟 Flowsynth用于： - 模拟攻击流量 - 重现攻击者行为 - 针对定制场景测试检测规则 这展示了超越分析并**验证检测机制**的能力。 ## 📁 仓库结构 . ├── data/ │ └── 21.pcap ├── rules/ │ └── suricata.rules ├── simulation/ │ └── cve2025.fs ├── report/ │ └── Threat_Hunting_Telegram_Exfiltration_Case_Study.pdf ├── screenshots/ │ └── analysis.png └── README.md ## 🔐 检测机会 - 监控指向`api.telegram.org`的外联连接 - 检测异常的HTTPS POST模式 - 标记Telegram Bot API端点（`/bot*/sendMessage`）的使用 - 监控发起外部连接的脚本引擎（例如PowerShell） ## 🧾 结论 本次调查确认，被入侵的主机被用于**通过加密HTTPS经由Telegram Bot API外泄数据**。 本项目强调了： - 分析加密流量的重要性 - 攻击者如何滥用合法服务 - 主动威胁狩猎的价值 ## ⚠️ 数据集声明 本项目使用的数据**仅用于教育和研究目的**。 未故意包含任何敏感或个人身份信息。 ## 🚀 核心要点 威胁狩猎不是等待告警，而是： ## 👤 作者 Hasan Zafar 网络安全研究生 | 威胁狩猎 | 网络分析

标签：C2通信, CDN识别, DNS查询, HTTPS分析, JSON数据, Metaprompt, PCAP分析, POST请求, SEO: Telegram流量分析, SEO: 威胁狩猎, SEO: 数据外泄检测, SSL解密, Telegram, Telegram Bot API, TLS解密, Wireshark, 句柄查看, 可疑行为, 命令与控制, 密钥日志, 数据外泄, 检测洞察, 网络安全, 网络流量分析, 隐私保护