mmiller89/malware-analysis-ws1

恶意软件流量分析 – NetSupport RAT (Easy As 123) PCAP 文件和网络流量来源见于：https://www.malware-traffic-analysis.net/tutorials/index.html 概述 本项目记录了对来自 Malware-Traffic-Analysis.net 练习的一个数据包抓取 (PCAP) 的分析过程。目标是识别受感染主机，分析命令与控制 (C2) 通信，并确定网络中是否发生了任何额外的恶意活动。 使用工具 Wireshark CyberChef 通用网络协议分析 主要发现 受感染主机被识别为 10.2.28.88。 该主机通过 TCP 端口 443 与已知的恶意外部 IP 45.131.214.85 建立了通信。 流量分析显示了一致的信标行为，发生间隔约为 60 秒。 HTTP POST 请求包含结构化的二进制数据，表明使用了该恶意软件的自定义协议。 在抓取期间，未观察到数据窃取、横向移动或命令执行的证据。 该活动与处于休眠或空闲状态、等待进一步指令的远控木马 (RAT) 行为一致。 附加说明 DNS 分析显示，域名 vadusa.xyz 解析到了与 C2 服务器相同的 IP 地址，表明它是该恶意软件基础设施的一部分。 Kerberos 流量中存在用户识别痕迹，但最初并未纳入分析范围。 报告 完整的技术分析请见随附的 PDF 文档。

标签：Beaconing, Beacon Object File, C2通信, CyberChef, DAST, DNS分析, HTTP POST, IOCs, IP 地址批量处理, NetSupport RAT, PCAP分析, Wireshark, 二进制数据, 信标行为, 协议分析, 句柄查看, 命令与控制, 威胁情报, 安全事件响应, 安全报告, 实时处理, 开发者工具, 恶意IP, 恶意域名, 恶意软件分析, 数字取证, 木马分析, 权限提升, 沙箱逃逸, 网络安全, 自动化脚本, 远控木马, 隐私保护