Nachiket919/malware-traffic-analysis-xloader

# 恶意软件流量分析 – XLoader 感染调查 ## 项目概述 本项目专注于使用 Wireshark 和从 Malware-Traffic-Analysis.net 获得的现实世界 PCAP 文件分析 XLoader 恶意软件感染。 目标是调查恶意软件产生的网络通信，识别入侵指标（IOCs），并了解感染行为。 ## 使用工具 * Wireshark * Malware-Traffic-Analysis.net * Windows 11 虚拟机 ## 执行分析 ### 1. DNS 分析 * 识别了受感染主机接触的可疑域名。 * 观察了多个外部域的 DNS 解析。 ### 2. HTTP 流量分析 * 调查了 HTTP GET 和 POST 请求。 * 分析了与外部服务器的通信。 ### 3. HTTP GET 请求分析 * 检查了恶意软件生成的出站请求。 * 识别了通信过程中使用的编码参数。 ### 4. HTTP POST 请求分析 * 分析了发送到远程基础设施的数据。 * 观察了可能的恶意软件信标和数据处理。 ### 5. IPv4 会话 * 调查了受感染主机与远程系统之间的通信。 ### 6. 端点分析 * 识别了参与感染的内网和外网端点。 ### 7. 协议层次分析 * 审查了 PCAP 中的协议分布。 ## 入侵指标（IOCs） ### 可疑域名 * physicsbrain.xyz * bydotoparca.net * car-select.online * topked.top ### 可疑 IP 地址 * 76.223.54.146 * 85.159.66.93 * 31.31.196.17 * 192.64.118.221 ## 关键发现 * XLoader 生成了多个 DNS 查询。 * 受感染主机与可疑外部基础设施进行了通信。 * HTTP GET 和 POST 请求包含编码数据。 * 识别了多个入侵指标。 ## 结论 分析确认了捕获流量中的恶意软件相关通信。使用 Wireshark，可以识别可疑域名、IP 地址、HTTP 通信，并重建恶意软件通信流程。 ## 项目报告 完整的项目文档可在以下位置找到： **XLoader_Report.docx**