gondir123/malware_network_analysis

# 恶意网络流量分析与 IOC 提取 ## 目标 对受恶意软件感染的网络捕获进行取证分类，提取失陷指标 (IOC)，并验证已识别基础设施的恶意性质，以确定失陷的完整范围并将攻击者活动映射到网络杀伤链。 ## 掌握的技能 - PCAP 分析与数据包过滤 - 受感染主机识别（IP、MAC、主机名、用户名） - IOC 提取与去风险化 (Defanging) - 威胁情报丰富 - 网络杀伤链映射 - 防墙与 DNS 阻断规则生成 - 使用 CyberChef 进行 IOC 去风险化 - WHOIS 与域名信誉分析 ## 使用的工具 - **Wireshark:** 用于打开和过滤 PCAP，识别受感染主机，并追踪恶意外发连接。 - **CyberChef:** 用于在安全记录之前对所有提取的 IP 地址和域名进行去风险化。 - **VirusTotal:** 用于扫描恶意域名并确认供应商检测结果和社区评分。 - **AbuseIPDB:** 用于检查 C2 IP 地址的信誉和滥用置信度评分。 ## 步骤 ### 1. 识别受感染主机 **目标:** 提取受感染机器的 IP 地址、MAC 地址、主机名和用户账户。 **使用的工具:** Wireshark **操作:** 在 Wireshark 中打开 `2026-01-31-traffic-analysis-exercise.pcap`。应用 `nbns` 过滤器以捕获 NetBIOS Name Service 注册广播，然后应用 `kerberos.CNameString` 从 Kerberos AS-REQ 数据包中提取已认证的用户名。使用 Edit → Find Packet → String → `"Wyatt"` 在 SMB SAMR `UserInfo21` 响应中定位全名。 **结果:** 将受感染主机识别为 `10.1.21.58`，MAC 为 `00:21:5d:c8:0e:f2`，主机名为 `DESKTOP-ES9F3ML`，用户名为 `gwyatt`，域 `WIN11OFFICE.COM` 上的全名为 **Gabriel Wyatt**。 #### NBNS 过滤器 — 主机名与 IP 地址 .png). #### Kerberos 过滤器 — 用户名  #### SMB 字符串搜索 — 全名  ### 2. 提取与去风险化 IOC **目标:** 安全地记录所有失陷指标 (IOC)，以便报告和共享。 **使用的工具:** CyberChef **操作:** 提取在受感染主机的出站连接中观察到的所有外部 IP 和域名。将它们加载到 CyberChef 中，并应用 `Defang IP Addresses` 和 `Defang URL` 配方链（转义点 ✓，转义 http ✓，转义 :// ✓）以生成安全的、不可点击的 IOC。 **结果:** 成功对 3 个恶意域名和 3 个可疑 IP 进行去风险化处理，使其能够安全地包含在报告和威胁共享平台中。 #### CyberChef 去风险化过程  ### 3. 在 VirusTotal 上验证域名信誉 **目标:** 将提取的域名与全球威胁情报进行交叉比对，以确认其恶意分类。 **使用的工具:** VirusTotal **操作:** 将每个去风险化后的域名提交给 VirusTotal。审查了每个域名的检测分数、社区评分、供应商分类、DNS 记录和创建日期。 **结果:** 所有三个域名均被多个安全供应商确认为恶意，在 92 家供应商中得分范围为 18–22 家报毒。 #### VirusTotal — whitepepper[.]su (22/92) 被 ADMINUSLabs、AlphaSOC、BitDefender、Certego、CyRadar、Dr.Web、ESET、Forcepoint、Fortinet、G-Data、Kaspersky 等标记为恶意软件和网络钓鱼。`.su` (苏联) 顶级域名在历史上极难被取缔。社区评分：**-15**。  #### VirusTotal — communicationfirewall-security[.]cc (21/92) 域名故意模仿合法的安全产品以逃避怀疑。使用 Cloudflare 域名服务器来掩盖真实来源。DNS A 记录：`85.121.148.13`。社区评分：**-70** — 三个域名中负向共识最高的一个。  #### VirusTotal — holiday-forever[.]cc (18/92) 标记为：`malicious web sites`、`spyware and malware`、`Malware Sites`。被 ADMINUSLabs、alphaMountain.ai、BitDefender、Certego、Fortinet、G-Data、Kaspersky、MalwareURL 等标记。社区评分：**-11**。域名注册于 3 个月前。  ### 4. 在 AbuseIPDB 上验证 C2 IP 信誉 **目标:** 评估主要 C2 IP 地址的滥用历史和基础设施类型。 **使用的工具:** AbuseIPDB **操作:** 将主要出站 IP `153.92.1.49` 提交给 AbuseIPDB，以检查其滥用置信度评分、ISP、国家和使用类型。 **结果:** 该 IP 返回的滥用置信度为 0%，且先前的报告数为 0，由位于立陶宛维尔纽斯的 Hostinger International Limited (AS47583) 托管，分类为数据中心/Web 托管/传输。尽管未被报告，但新部署的 C2 基础设施在被提交之前通常显示为 0%。数据中心托管类型加上已确认的恶意共同域名，将该 IP 归类为**可疑 C2 候选者**。 #### AbuseIPDB — 153[.]92[.]1[.]49  ## 调查结果总结 - **受感染主机:** `10.1.21.58` — `DESKTOP-ES9F3ML` — 用户 `gwyatt` (Gabriel Wyatt) — 域 `WIN11OFFICE.COM` - **C2 基础设施:** `153[.]92[.]1[.]49` (Hostinger，立陶宛) — 数据中心托管，新部署，0 个先前报告 - **恶意域名:** `whitepepper[.]su` (22/92)，`communicationfirewall-security[.]cc` (21/92)，`holiday-forever[.]cc` (18/92) — 均被多个防病毒供应商确认 - **横向移动:** 来自受感染主机的 SMB2 会话通过端口 445 连接到域控制器 `10.1.21.2`，对 `\\WIN11OFFICE.COM\IPC$` 进行 Tree Connect，随后进行 SAMR 用户枚举 - **观察到的杀伤链阶段:** 安装 → 命令与控制 (C2) → 目标行动 - **最终分类:** 被归类为**已确认的恶意软件感染，伴有活跃的 C2 通信和横向移动活动** 本次调查展示了结构化数据包分析在识别受损主机、跨多个威胁情报平台关联 IOC 以及制定可操作的修复步骤方面的重要性。通过结合 Wireshark 过滤器、CyberChef 去风险化、VirusTotal 丰富和 AbuseIPDB 评分，得以完整记录感染链并建议具体的阻断规则以遏制威胁。

标签：AbuseIPDB, Ask搜索, ATT&CK映射, Beacon Object File, C2通信, C&C服务器, CyberChef, Cyber Kill Chain, DAST, DNS分析, DNS拦截规则, IoC提取, IP反查, IP 地址批量处理, Kerberos协议, NetBIOS, PCAP分析, PE 加载器, SMB协议分析, SOC分析, VirusTotal, Wireshark, 句柄查看, 域名信誉分析, 失陷主机溯源, 威胁情报, 安全教育, 安全规则生成, 安全运营, 实操靶场, 库, 应急响应, 开发者工具, 恶意基础设施验证, 恶意网络流量分析, 恶意软件分析, 扫描框架, 数字取证, 杀伤链映射, 流量过滤, 网络信息收集, 网络协议分析, 网络安全项目, 网络防御加固, 自动化脚本, 速率限制处理, 防火墙策略