Santa-Cruz1654/Malware-Traffic-Analysis

# 恶意软件流量分析 – 2014年11月16日 ## 概述 本存储库包含了我使用 Wireshark 对 PCAP 文件进行的完整恶意软件流量调查： 2014-11-16-traffic-analysis-exercise.pcap，来源于 https://malware-traffic-analysis.net/ 目标是重建攻击链，识别恶意基础设施，提取有效载荷，验证恶意软件工件，并将观察到的活动映射到 MITRE ATT&CK 技术上。 ## 调查摘要 受害者系统访问了一个受损害的网站，该网站通过网关服务器重定向流量。 以下是发现的漏洞： - Flash 漏洞（SWF） - Java 漏洞（JAR） - 恶意 Windows 可执行文件 使用 VirusTotal 对提取的有效载荷进行了分析和验证。 ## 使用工具 - Wireshark - VirusTotal - 哈希计算器 - MITRE ATT&CK 框架 ## 关键发现 - 识别了受损害的网站 - 提取了 SWF 漏洞 - 提取了 JAR 漏洞 - 提取了 Windows 可执行文件 - 通过 VirusTotal 获得确认 - 通过 DHCP 流量识别了主机名 - 重建了完整的感染时间线 ## MITRE ATT&CK 映射 在此 PCAP 中观察到的攻击遵循经典的漏洞利用工具包感染链。受害者访问了一个受损害的网站，该网站将流量重定向到恶意基础设施，其中提供了 Flash 和 Java 漏洞。成功的利用导致通过 HTTP 下载了恶意可执行文件。 | 技术 | ID | |------------|------------| | 驱动程序漏洞利用 | T1189 | | 客户端执行漏洞利用 | T1203 | | 应用层协议：Web 协议 | T1071.001 | | 工具传输 | T1105 | | 匿名 | T1036 | 这些技术共同描述了调查期间观察到的完整攻击生命周期，从初始访问到有效载荷交付和执行。

标签：Cloudflare, DAST, DNS 解析, Flash漏洞, Go语言工具, Java漏洞, MITRE ATT&CK, PCAP文件, Windows可执行文件, Wireshark, 反取证, 句柄查看, 哈希计算, 威胁情报, 安全事件响应, 安全产品, 安全咨询, 安全培训, 安全威胁, 安全态势感知, 安全意识, 安全服务, 安全测试, 安全漏洞, 安全社区, 安全策略, 安全行业, 安全评估, 安全防护, 开发者工具, 恶意基础设施, 恶意软件分析, 提示词设计, 攻击性安全, 攻击链重构, 病毒总汇, 红队平台, 网络信息收集, 网络安全, 隐私保护