Artur-003/malware-traffic-analysis-easyas123
GitHub: Artur-003/malware-traffic-analysis-easyas123
一个分析网络流量以检测Windows主机入侵和C2通信的实战指南项目。
Stars: 0 | Forks: 0
# malware 流量分析 轻松掌握
本项目分析了来自 Malware-Traffic-Analysis 平台的网络流量:
https://malware-traffic-analysis.net/2026/02/28/index.html
研究目标是识别企业网络中 Windows 主机被入侵的迹象,确定受感染机器的特征,并分析 C2 通信。
在调查过程中,设定了以下任务:
- 确定受感染 Windows 客户端的 IP 地址
- 识别设备的 MAC 地址
- 确定系统的主机名
- 查找用户账户
- 识别用户的全名
- 分析网络活动和 C2 流量
在深入分析之前,首先对网络流量进行了概述,以了解事件的总体情况。
分析显示存在以下协议:
- SMB / SMB2(Windows 文件共享)
- LDAP(Active Directory 枚举)
- DNS(名称解析)
- HTTP(C2 通信)
- Kerberos(认证流量)
为了初步筛选可疑数据包,我使用了以下 Wireshark 过滤器:
初步分析后,我按协议进行了细化分析:
- DHCP(提取主机名)
- SMB / NetBIOS(主机识别)
- LDAP(域控制器枚举)
- HTTP(恶意软件 C2 分析)
- Kerberos
从 DHCP 数据包中提取了受感染设备的主机名:DESKTOP-TEYQ2NR
**LDAP 枚举 (Active Directory)**
检测到域控制器:EASYAS123-DC.easyas123.tech
**HTTP C2 通信 (NetSupport Manager)**
发现可疑流量:
- User-Agent: NetSupport Manager
- POST 请求发往:45.131.214.85/fakeurl.htm
观察到加密的数据传输:
-CMD=POLL
-CMD=ENCD
这证实了存在远程访问特洛伊木马(RAT)。
通过出站流量确定了受感染主机的 MAC 地址:00:19:d1:b2:4d:ad
*在 SMB/NetBIOS 伪影中发现了用户名 "Becka Rolf",但需要通过 LDAP 和认证日志进行额外关联以实现 100% 确认。
为了识别用户账户名,使用了 Kerberos.CNameString 过滤器,该过滤器允许从域环境中的 Kerberos 认证中提取数据。
**最终结果:**
**问题:**
1. 受感染 Windows 客户端的 IP 地址是什么?
2. 受感染 Windows 客户端的 MAC 地址是什么?
3. 受感染 Windows 客户端的主机名是什么?
4. 来自受感染 Windows 客户端的用户账户名是什么?
5. 该用户账户对应的用户全名是什么?
**答案:**
1. 10.2.28.88
2. 00:19:d1:b2:4d:ad
3. DESKTOP-TEYQ2NR
4. "brolf"
5. "Becka Rolf" *
分析显示存在以下协议:
- SMB / SMB2(Windows 文件共享)
- LDAP(Active Directory 枚举)
- DNS(名称解析)
- HTTP(C2 通信)
- Kerberos(认证流量)
为了初步筛选可疑数据包,我使用了以下 Wireshark 过滤器:
初步分析后,我按协议进行了细化分析:
- DHCP(提取主机名)
- SMB / NetBIOS(主机识别)
- LDAP(域控制器枚举)
- HTTP(恶意软件 C2 分析)
- Kerberos
从 DHCP 数据包中提取了受感染设备的主机名:DESKTOP-TEYQ2NR
**LDAP 枚举 (Active Directory)**
检测到域控制器:EASYAS123-DC.easyas123.tech
**HTTP C2 通信 (NetSupport Manager)**
发现可疑流量:
- User-Agent: NetSupport Manager
- POST 请求发往:45.131.214.85/fakeurl.htm
观察到加密的数据传输:
-CMD=POLL
-CMD=ENCD
这证实了存在远程访问特洛伊木马(RAT)。
通过出站流量确定了受感染主机的 MAC 地址:00:19:d1:b2:4d:ad
*在 SMB/NetBIOS 伪影中发现了用户名 "Becka Rolf",但需要通过 LDAP 和认证日志进行额外关联以实现 100% 确认。
为了识别用户账户名,使用了 Kerberos.CNameString 过滤器,该过滤器允许从域环境中的 Kerberos 认证中提取数据。
**最终结果:**
**问题:**
1. 受感染 Windows 客户端的 IP 地址是什么?
2. 受感染 Windows 客户端的 MAC 地址是什么?
3. 受感染 Windows 客户端的主机名是什么?
4. 来自受感染 Windows 客户端的用户账户名是什么?
5. 该用户账户对应的用户全名是什么?
**答案:**
1. 10.2.28.88
2. 00:19:d1:b2:4d:ad
3. DESKTOP-TEYQ2NR
4. "brolf"
5. "Becka Rolf" *标签:AMSI绕过, C2通信, DAST, DNS, LDAP, SMB, Windows主机分析, Wireshark, 主机入侵识别, 主机识别, 企业安全, 企业网络威胁, 协议分析, 句柄查看, 威胁情报, 威胁检测, 安全事件响应, 开发者工具, 恶意流量分析, 恶意软件分析, 权限提升, 流量监控, 网络协议解码, 网络安全, 网络流量分析, 网络资产管理, 错误配置检测, 隐私保护