HariCipher/bandook-c2-traffic-analysis

# Bandook RAT — C2 流量分析 **PCAP 来源：** malware-traffic-analysis.net — 2023-08-01 **工具：** Wireshark, tshark **恶意软件家族：** Bandook RAT（商业远程访问木马） ## 概述 对提取的包含 Bandook RAT C2 流量的 PCAP 进行分析。 受感染主机通过原始 TCP 在端口 6591 上与两台 C2 服务器进行了通信， 使用了自定义的 Base64 编码协议，无 HTTP 流量。 C2 #1 被硬编码在恶意软件二进制文件中。C2 #2 通过 DNS 解析。 ## 关键发现 | 类型 | 值 | 备注 | |------|-------|-------| | 受感染主机 | `10.8.1.101` | 受害者机器 | | DNS 服务器 | `10.8.1.1` | 本地解析器 | | C2 #1 (硬编码) | `185.10.68.52:6591` | 主服务器 — 传输 1 MB | | C2 #2 (通过 DNS) | `185.10.68.127:6591` | 备用服务器 — 通过 vrunabo.su 解析 | | C2 域名 | `vrunabo.su` | .su TLD 被威胁行为者滥用 | | C2 端口 | `6591` | 非标准端口，Bandook 特定 | | 编码方式 | Base64 + 自定义分隔符 (&&) | 专有 C2 协议 | ## 显著发现 - C2 #1 IP 为硬编码 — 在任何 DNS 活动前 37 分钟已被联系 - C2 #2 通过 DNS 解析 — 允许操作者在不重新编译的情况下更换基础设施 - 零 HTTP、FTP 或 SMTP 流量 — 整个 PCAP 均为恶意 C2 通信 - 带有 `&&` 分隔符的 Base64 编码 payload 表明了 Bandook 的专有协议 - 两台 C2 服务器提供了冗余 — 仅屏蔽一个域名是不够的 ## 检测建议 - 在边界防火墙处屏蔽到非标准端口 (6591) 的出站 TCP 流量 - 对 `.su` TLD 的 DNS 查询发出告警 — 该顶级域名被严重滥用，在正常流量中极罕见 - SIEM 规则：到单一外部 IP 非标准端口上持续超过 100KB 的出站 TCP 连接 ## 文件 - [`analysis.md`](analysis.md) — 包含屏幕截图的完整分步 Wireshark 演练 - [`iocs.txt`](iocs.txt) — 纯文本格式的所有 IOC ## MITRE ATT&CK 映射 | 技术 | ID | 描述 | |-----------|----|-------------| | 命令与控制 | T1071 | 应用层协议滥用 | | 非标准端口 | T1571 | 通过端口 6591 进行 C2 通信 | | 加密通道 | T1573 | Base64 编码的 C2 协议 | | 动态解析 | T1568 | 使用域名来定位 C2 #2 |

标签：Bandook RAT, Base64编码, C2通信, DAST, IOC提取, IP 地址批量处理, PB级数据处理, PCAP分析, URL发现, Wireshark, 协议分析, 句柄查看, 威胁情报, 安全检测, 安全研究报告, 安全运维, 开发者工具, 恶意软件分析, 权限提升, 网络安全, 远控木马, 隐私保护