AdityaDNair/soc-malware-analysis-lab

# 恶意软件流量分析实验 ## 项目描述 本项目演示了使用 Wireshark 分析 PCAP 文件中捕获的可疑网络流量，进行恶意软件流量分析的实际操作调查。调查重点是识别潜在的受感染主机、分析出站加密通信、检查 TLS 流量以及提取失陷指标（IOC）。 本项目遵循安全分析师在事件响应和恶意软件调查期间常用的 SOC 风格调查工作流程。 # 目标 * 识别疑似受感染主机 * 分析网络流量模式 * 调查出站通信 * 检查加密的 TLS 流量 * 提取失陷指标（IOC） * 专业地记录调查结果 # 使用的工具 * Wireshark * TCP Stream 分析 * TLS SNI 检查 # 调查工作流程 ## 1. IPv4 端点分析 使用 Wireshark 的： Statistics → Endpoints → IPv4 来识别产生异常高流量体积的系统。 ### 结果 主机： 10.1.17.215 被识别为与多个外部 IP 地址通信的主要系统。  ## 2. TCP 会话分析 使用： Statistics → Conversations → TCP 来检查重复的出站通信。 ### 发现结果 疑似主机通过端口 `443` 与外部 IP 地址建立了多个出站 HTTPS 连接。 在调查过程中观察到一个特别可疑的 IP： 45.125.66.32  ## 3. TLS SNI 检查 应用 Wireshark 过滤器： tls.handshake.extensions_server_name 来检查加密的 TLS 流量并识别目标域。 ### 观察到的 SNI 值 www.msn.com static.edge.microsoftapp.net array804.prod.do.dsp.mp.microsoft.com 45.125.66.32 大多数域名看似合法，然而重复直接与 IP 地址 `45.125.66.32` 进行的 TLS 通信被认为是可疑的。  ## 4. TCP Stream 检查 使用： Follow → TCP Stream 检查可疑的 TLS 会话。  ### 发现结果 * 观察到加密的 TLS 流量 * 基于直接 IP 的 TLS 通信 * 自签名证书的证据 这些行为可能表明存在恶意软件信标通信或命令与控制（C2）通信。 # 失陷指标（IOC） ## 疑似受害主机 10.1.17.215 ## 可疑外部 IP 45.125.66.32 ## 可疑行为 * 重复的出站 TLS 流量 * 使用自签名证书 * 基于直接 IP 的加密通信 # 项目结构 malware-traffic-analysis-lab/ │ ├── README.md ├── screenshots/ ├── notes/ ├── report/ └── pcap/ # 包含的截图 * IPv4 端点分析 * TCP 会话分析 * TLS SNI 检查 * TCP Stream 分析 # 展示的关键技能 * 恶意软件流量分析 * Wireshark 数据包检查 * TCP 会话分析 * TLS/SNI 调查 * IOC 提取 * 事件响应工作流程 * SOC 风格文档 # 结论 本项目演示了在真实 SOC 和事件响应环境中使用的实际恶意软件流量分析技术。通过网络流量检查和 TLS 分析，识别并调查了可疑的加密出站通信，以确定可能的恶意软件相关活动。

标签：C2通信, DAST, HTTPS流量, IOCs提取, PCAP分析, SNI检查, TCP流分析, TLS分析, Wireshark, 句柄查看, 失陷主机, 安全实验室, 安全运营中心, 恶意软件分析, 指挥与控制, 数字取证, 端点分析, 网络信息收集, 网络安全, 网络映射, 自动化脚本, 隐私保护