vidhiparekh11/network-forensics-albabat-rilide

# 网络取证：Albabat 勒索软件与 Rilide 窃密木马    ## 概述 本项目记录了对两个活跃恶意软件家族——**Albabat 勒索软件**和 **Rilide 窃密木马**的完整网络取证调查，重点关注 C2 通信分析、检测工程和事件响应。 ## 目标 - 解密并重构这两种恶意软件家族的 TLS 加密 C2 流量 - 提取并解析托管在 GitHub 上的 Albabat 远程配置 payload - 开发 Suricata IDS 签名以检测 C2 活动 - 制作包含 IOC 和修复步骤的 SOC 级别调查报告 ## 工具与环境 | 工具 | 用途 | |------|---------| | Wireshark | 通过注入 SSL 会话密钥进行 TLS 解密、流量分析 | | Suricata | IDS/IPS 规则开发与测试 | | Dalton | 用于规则验证的合成流量模拟 | | MITRE ATT&CK | TTP 映射与对手行为上下文分析 | ## 方法论 ### 1. TLS 流量解密 - 将 SSL 会话密钥注入 Wireshark 以解密 HTTPS 流量 - 重构 Albabat 和 Rilide 的完整端到端 C2 通信流 ### 2. Albabat 配置提取 - 定位并检索 Albabat 托管在 GitHub 上的配置 payload - 解析配置以枚举目标文件扩展名以及在加密前终止的进程 ### 3. Suricata 检测工程 - 编写针对 C2 配置检索模式的自定义 Suricata 签名 - 使用 Dalton 模拟平台生成的合成流量对签名进行验证 ### 4. IOC 文档记录 - 汇总失陷指标 (IOC)，包括域名、IP、URL 和文件哈希 - 将所有发现映射到 MITRE ATT&CK 技术 ## MITRE ATT&CK 映射 | 技术 ID | 技术名称 | 恶意软件 | |---|---|---| | T1071.001 | 应用层协议：Web 协议 | Albabat, Rilide | | T1041 | 通过 C2 通道外传数据 | Rilide | | T1486 | 数据加密造成影响 | Albabat | | T1083 | 文件与目录发现 | Albabat | | T1057 | 进程发现 | Albabat | ## 交付物 - [ ] Wireshark 捕获分析笔记 - [ ] Albabat 配置 payload（已脱敏） - [ ] Suricata 检测规则（`/rules/`） - [ ] IOC 列表（`/iocs/`） - [ ] SOC 风格调查报告（`/report/`） ## 文件夹结构 ``` network-forensics-albabat-rilide/ ├── README.md ├── rules/ │ └── albabat-c2-detection.rules ├── iocs/ │ └── indicators.md ├── report/ │ └── investigation-report.md └── notes/ └── methodology-notes.md ``` ## 展示技能 - TLS 解密与深度包检测 - 恶意软件 C2 通信重构 - IDS/IPS 检测规则编写 - 威胁情报文档记录（SOC 风格报告） - MITRE ATT&CK 框架应用 ## 参考 - [MITRE ATT&CK](https://attack.mitre.org/) - [Suricata 文档](https://suricata.readthedocs.io/) - [Emerging Threats 规则集](https://rules.emergingthreats.net/)

标签：Albabat, C2通信, Cloudflare, Dalton, DAST, GitHub托管载荷, IDS/IPS, IOC提取, Metaprompt, MITRE ATT&CK, Rilide, Suricata, TLS解密, Wireshark, 信息窃取器, 入侵检测规则, 勒索软件, 句柄查看, 命令与控制分析, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 恶意流量分析, 恶意软件分析, 扫描框架, 数字取证, 无线安全, 流量解密, 现代安全运营, 端点安全, 网络安全, 网络安全审计, 自动化脚本, 补丁管理, 配置提取, 隐私保护