ShuhaibRiyaj/SOC-PCAP-Malware-Traffic-Analysis

# SOC-PCAP-恶意软件流量分析 SOC 风格的 PCAP 调查，分析恶意软件流量、受感染主机活动、恶意 IP/域名、DNS/HTTP 请求以及 VirusTotal 指标。 # PCAP 恶意软件流量分析 本仓库包含使用 Wireshark、NetworkMiner、VirusTotal 和 Process Hacker 在隔离的 Windows 虚拟机环境中进行的完整恶意软件流量调查。 本项目的目标是分析执行恶意软件样本后产生的恶意网络活动，并识别妥协指标 (IOC)、可疑通信、恶意域名、受感染主机以及网络行为。 ## 使用的工具 - Wireshark - NetworkMiner - VirusTotal - Process Hacker - SoftEther VPN - Windows VM ## 展示的技能 - PCAP 分析 - 恶意软件流量分析 - 网络取证 - IOC 提取 - DNS 分析 - HTTP 流量分析 - TCP 流调查 - 威胁检测 - 事件调查 - 网络监控 ## 调查总结 ### 受感染主机 - 主机名：`GBC25-SHUHAIB` - 受感染 IP：`192.168.10.196` ## 识别出的恶意 IP 地址 - `31.184.253.37` - `31.44.184.33` - `208.95.112.1` - `239.255.255.250` ## 识别出的恶意域名 - `puu.sh` - `totallyanonymous.com` - `mail.totallyanonymous.com` ## 主要发现 - 识别出多个恶意出站连接 - 在可疑会话后观察到 TCP 重置 (RST) 数据包 - 请求 JSON 资源的 HTTP GET 请求 - UDP 端口 1900 上的可疑 SSDP 流量 - 解析恶意域名的 DNS 查询 - 通过 NetworkMiner 识别出 HTTP cookies - 分析了超过 25,000 个数据包 - 捕获了超过 20MB 的流量 - 观察到 92 个端点和 95 个会话 ## 分析过程中使用的技术 ### Wireshark 过滤器 ``` ip.addr == 31.184.253.37 ``` ``` ip.addr == 31.44.184.33 ``` ``` ip.addr == 208.95.112.1 ``` ``` http.request ``` ``` dns.flags.response == 0 ``` ``` ssdp || arp || eth.dst == ff:ff:ff:ff:ff:ff ``` ## 分析工作流 1. 在隔离的虚拟机中执行恶意软件样本 2. 使用 Wireshark 捕获网络流量 3. 使用 NetworkMiner 调查主机和凭据 4. 使用 VirusTotal 验证恶意 IP/域名 5. 分析 TCP 流和数据包行为 6. 调查 HTTP 和 DNS 请求 7. 提取妥协指标 8. 按时间顺序记录发现 ## 包含的文件 - 完整的 PCAP 分析报告 - 调查截图 - VirusTotal IOC 证据 - Wireshark 数据包分析 - NetworkMiner 证据 ## 学习成果 本项目提升了对以下方面的实际理解： - 恶意软件行为分析 - 基于网络的威胁狩猎 - 数据包检查 - 识别命令与控制流量 - 调查可疑的 DNS 和 HTTP 通信 - 在 SOC 风格的工作流中分析受感染主机行为 ## 免责声明 本项目是在受控实验室环境中进行的，仅用于教育和网络安全培训目的。

标签：AMSI绕过, Ask搜索, DNS分析, HTTP流量分析, IOC提取, IP 地址批量处理, NetworkMiner, PCAP分析, TCP流分析, VirusTotal, Windows虚拟机, Wireshark, 句柄查看, 威胁检测, 安全运营中心, 恶意IP分析, 恶意域名分析, 恶意软件流量分析, 感染主机分析, 网络信息收集, 网络协议分析, 网络安全, 网络映射, 速率限制, 隐私保护