SatyamVermaV99/malware-traffic-analysis-wireshark

# Malware-Traffic-Analysis-Wireshark SOC风格的恶意流量分析项目，使用 Wireshark 调查 PCAP 文件，识别受感染主机、提取 IOCs（事件指标）并记录事件调查结果。 ## 项目描述 本项目是一个实践性的恶意流量分析作品集，旨在通过使用 Wireshark 练习 SOC 分析师的调查技能。项目基于多个 PCAP 流量分析练习，我在其中调查可疑网络活动，识别受感染的 Windows 主机，提取妥协指标（IOCs），并以事件报告格式记录调查结果。 本项目的目标是积累基于数据包的调查实践经验，并展示我能够分析网络证据、识别可疑行为、清晰地传达调查结果。不仅仅是列出 Wireshark 作为一项技能，本项目还展示了我如何在真实的恶意软件调查场景中使用 Wireshark。 ## 我创建这个项目的原因 我创建本项目作为向网络安全领域转型的一部分，目标是进入初级网络安全分析师和 SOC 分析师岗位。许多 SOC 分析师职位要求具备审查告警、调查可疑网络流量、识别受影响系统并记录调查结果以用于升级或事件响应的能力。 本项目让我在安全的实验环境中使用基于 PCAP 的练习来实践这些技能。同时，它也形成了一份结构化的作品集，我可以在简历和 GitHub 上展示，以证明我具备动手实践的网络安全经验。 ## 我的工作内容 对于每个案例研究，我都会审阅场景说明，在 Wireshark 中打开 PCAP 文件，并调查流量以识别妥协迹象。我使用数据包级别的证据来确定受感染的内部主机、主机名、MAC 地址、Windows 用户账户、可疑域名、外部 IP 地址以及与命令与控制（C2）或远程访问工具（RAT）相关的流量。 我将每次调查记录为 SOC 风格的报告，报告中包含目标、场景摘要、使用的工具、关键发现、妥协指标、判断结论以及建议的响应措施。 ## 使用的工具与技术 - Wireshark - PCAP 分析 - 网络流量过滤 - DNS 流量分析 - HTTP 和 HTTPS/TLS 流量审查 - 使用 NBNS 过滤进行主机名识别 - 使用 Kerberos CNameString 值进行用户账户识别 - IP/域名联动分析 - IOCs 提取 - 事件报告撰写 ## 展示的技能 - 网络流量分析 - 恶意软件流量调查 - SOC 告警调查流程 - 识别受感染的 Windows 主机 - 从数据包捕获中提取主机名、MAC 地址和用户账户 - 识别可疑域名和外部 IP 地址 - 记录妥协指标（IOCs） - 撰写清晰的技术调查报告 - 将数据包证据转化为事件响应建议 - 完成的案例研究 ### 案例 01：伪造 Google Authenticator 恶意软件流量 在此案例中，我调查了与伪造的 Google Authenticator 下载页面相关的流量。我识别出受感染的内部 Windows 客户端、主机名、MAC 地址、Windows 用户账户、伪造软件域名以及命令与控制（C2）IP地址。 关键活动包括： - 识别受感染的内部 Windows 客户端 - 查找主机名和 MAC 地址 - 识别 Windows 用户账户 - 调查伪造软件下载域名 - 提取 C2 IP 地址 - 记录调查结果并提出建议的响应措施 ### 案例 02：Lumma Stealer 流量分析 在此案例中，我调查了与 Lumma Stealer 活动相关的流量。我使用 Wireshark 过滤器来识别受感染主机、可疑外部 IP 地址、恶意域名、Windows 用户账户以及后续可疑域名。 关键活动包括： - 从可疑外部流量联动到受感染的内部主机 - 使用 NBNS 流量识别 Windows 主机名和 MAC 地址 - 使用 Kerberos CNameString 值查找 Windows 用户账户 - 识别 Lumma Stealer 相关流量 - 记录可疑域名和 IOCs - 创建事件风格报告并提出建议的响应措施 ### 案例 03：NetSupport Manager RAT 流量分析 在此案例中，我调查了一个通过 TCP 端口 443 传输的 NetSupport Manager RAT 相关 PCAP 文件。我识别出受感染的 Windows 系统，并记录了与外部 RAT 的通信情况。 关键活动包括： - 调查可疑的 RAT 流量 - 识别受感染的内部主机 - 提取主机名、MAC 地址和用户账户信息 - 审查通往外部 RAT IP 地址的流量 - 以 SOC 风格记录调查结果 - 建议包含遏制和修复措施 - 总结 本项目加强了我对基于网络的恶意软件调查的实际理解。通过完成多个 PCAP 调查练习，我实践了如何从初始告警或可疑指示器推进到完整的事件总结。 该项目展示了我分析数据包捕获、识别受影响系统、提取 IOCs 并清晰传达调查结果的能力。这些技能对于初级 SOC 分析师、网络安全分析师和事件响应支持岗位非常重要。

标签：IOC提取, PCAP分析, Sigma 规则, SOC分析, Windows主机感染, Wireshark抓包分析, 命令与控制流量, 域名分析, 外部IP追踪, 安全分析师技能展示, 恶意流量分析, 数据包解码, 日志与流量关联, 横向移动, 流量可视化, 端口通信分析, 编程规范, 网络安全实践, 网络安全项目, 网络证据分析