vidhiparekh11/threat-hunting-telegram-c2
GitHub: vidhiparekh11/threat-hunting-telegram-c2
记录了一次针对滥用Telegram Bot API进行HTTPS隐蔽C2通信的恶意软件的主动威胁狩猎演练,完整重建攻击链并映射MITRE ATT&CK框架。
Stars: 0 | Forks: 0
# 威胁狩猎:基于 Telegram 的 C2 攻击活动
  
## 概述
本项目记录了一次针对恶意软件的主动威胁狩猎演练,该恶意软件滥用 **Telegram Bot API** 进行基于 HTTPS 的命令与控制 (C2) 及数据窃取。此次调查追溯了攻击者从初始信标探测到数据窃取以及 C2 错误处理例程的完整 TTP 链条。
## 目标
- 狩猎利用 Telegram Bot API 作为隐蔽 C2 通道的恶意软件
- 在解密后的 PCAP 数据集中重建攻击者的完整攻击链
- 关联主机与网络遥测数据以建立 IOC 基线
- 识别映射至 MITRE ATT&CK 的检测工程机会
## 工具与环境
| 工具 | 用途 |
|------|---------|
| Wireshark | PCAP 解密与深度包检测 |
| MITRE ATT&CK Navigator | TTP 映射与对手行为分析 |
| Python | IOC 提取与流量关联脚本编写 |
## 方法论
### 1. PCAP 数据集分析
- 在解密后的 PCAP 数据集中进行狩猎,以识别异常的 HTTPS 流量模式
- 识别出用于 C2 信标探测和命令检索的 Telegram Bot API 调用
### 2. TTP 链重建
完整的攻击链按以下顺序被追溯:
```
Initial Beaconing
↓
Credential Dumping
↓
Lateral Movement
↓
Exfiltration Payload Delivery
↓
C2 Error-Handling Routines
```
### 3. 主机与网络遥测数据关联
- 将网络层指标(域名、IP、API 端点)与主机层工件进行了关联
- 建立了适用于检测规则开发的 IOC 基线
### 4. 检测工程
- 基于 Telegram Bot API 的使用模式识别了检测机会
- 为 SOC 告警记录了行为特征
## MITRE ATT&CK 映射
| 技术 ID | 技术名称 | 阶段 |
|---|---|---|
| T1071.001 | 应用层协议:Web 协议 | C2 信标探测 |
| T1102 | Web 服务(滥用 Telegram Bot API) | C2 通道 |
| T1003 | 操作系统凭证转储 | 凭证访问 |
| T1021 | 远程服务 – 横向移动 | 横向移动 |
| T1041 | 通过 C2 通道窃取 | 数据窃取 |
| T1008 | 备用通道(C2 错误处理) | C2 弹性 |
## 交付物
- [ ] 狩猎方法论笔记 (`/notes/`)
- [ ] 带有注释的 TTP 链图表 (`/diagrams/`)
- [ ] IOC 列表 — 域名、IP、Telegram Bot ID (`/iocs/`)
- [ ] 检测工程建议 (`/detections/`)
- [ ] 最终威胁狩猎报告 (`/report/`)
## 文件夹结构
```
threat-hunting-telegram-c2/
├── README.md
├── notes/
│ └── hunt-methodology.md
├── diagrams/
│ └── ttp-chain.md
├── iocs/
│ └── indicators.md
├── detections/
│ └── detection-opportunities.md
└── report/
└── threat-hunt-report.md
```
## 关键发现
- 恶意软件利用合法的 Telegram Bot API 端点将 C2 流量混入正常的 HTTPS 流量中,使得传统的基于特征的检测失效
- 攻击者展示了具有备用 C2 错误处理例程的多阶段持久化能力
- 凭证转储发生在横向移动之前,表明这是一次有针对性的、蓄谋已久的攻击活动
## 展现的技能
- 跨网络流量数据集的主动威胁狩猎
- C2 通道识别与重建
- MITRE ATT&CK TTP 链分析
- IOC 基线建立与检测工程
- 网络与主机遥测数据关联
## 参考
- [MITRE ATT&CK T1102 – Web Service](https://attack.mitre.org/techniques/T1102/)
- [Telegram Bot API 文档](https://core.telegram.org/bots/api)
- [MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/)
标签:C2通信, DAST, HTTPS加密流量, IOC提取, MITRE ATT&CK映射, PCAP分析, PE 加载器, Python网络安全, Telegram Bot API, TTP链路重建, Wireshark, 凭证转储, 句柄查看, 安全运营中心(SOC), 恶意软件分析, 攻击溯源, 数据窃取, 杀伤链, 横向移动, 深度包检测(DPI), 编程规范, 网络信息收集, 网络安全, 网络遥测, 逆向工具, 隐私保护