Harshasri3/Malware-Traffic-Analysis

# 恶意软件流量分析作品集 此仓库包含使用恶意软件分析实验室和受真实场景启发的数据包捕获 (PCAPs) 进行的恶意软件流量分析调查。 这些调查的目的是识别恶意活动、分析攻击者基础设施、提取失陷标示 (IOCs)，并使用行业标准的方法论生成专业的事件调查报告。 ## 目标 * 分析恶意网络流量 * 识别受感染的主机和受影响的用户 * 调查攻击者基础设施 * 提取失陷标示 (IOCs) * 执行威胁狩猎活动 * 将观察到的活动映射到 MITRE ATT&CK 技术 * 生成专业的事件调查报告 ## 展示技能 - 网络流量分析 - 恶意软件流量分析 - 事件响应 - IOC 提取 - DNS 分析 - HTTP 分析 - Active Directory 调查 - 主机归因 - 用户归因 - 安全文档编写 - MITRE ATT&CK 映射 ## 使用工具 ### 网络分析 * Wireshark * NetworkMiner ### 文档编写 * Visual Studio Code * Git * GitHub ### 框架 * MITRE ATT&CK Framework ## 调查方法论 每个案例都遵循结构化的调查流程： 1. 告警审查 2. 主机识别 3. 用户归因 4. 网络流量分析 5. DNS 分析 6. 协议分析 7. IOC 提取 8. 威胁情报关联 9. MITRE ATT&CK 映射 10. 事件报告 ## 案例 | 案例 | 恶意软件家族 | 状态 | | ------- | ---------------------- | --------- | | Case-01 | NetSupport Manager RAT | 已完成 | | Case-02 | Lumma Stealer | 已完成 | ## 仓库结构 ``` Malware-Traffic-Analysis/ │ ├── README.md ├── Tools.md ├── References.md │ ├── Templates/ │ ├── Investigation-Template.md │ ├── Findings-Template.md │ └── IOC-Template.md │ ├── Case-01/ │ ├── Report.md │ ├── Findings.md │ ├── IOC.md │ └── Screenshots/ │ ├── Case-02/ | ├──Report.md │ ├── Findings.md │ ├── IOC.md │ └── Screenshots/ │ └── Case-03/ ``` ## 案例 01 摘要 ### 恶意软件家族 NetSupport Manager RAT ### 关键发现 * 识别出受感染的工作站 DESKTOP-TEYQ2NR * 识别出用户账户 brolf (Becka Rolf) * 识别出恶意域名 vadusa.xyz * 识别出命令与控制 (C2) 服务器 45.131.214.85 * 分析了 HTTP 命令与控制通信 * 提取了失陷标示 (IOCs) * 在专业的事件报告中记录了发现 ## 案例 02 摘要 ### 恶意软件家族 Lumma Stealer ### 关键发现 * 识别出受感染的工作站 DESKTOP-ES9F3ML * 识别出用户账户 gwyatt (Gabriel Wyatt) * 识别出恶意域名 whitepepper.su * 识别出外部基础设施 153.92.1.49 * 分析了 DNS 和 TLS 通信 * 提取了失陷标示 (IOCs) * 在专业的事件报告中记录了发现 ## 免责声明 本仓库中包含的所有调查均基于公开可用的培训材料、实验室环境或教育性的恶意软件流量分析练习。 此仓库仅用于网络安全教育、技能开发和专业作品集目的。

标签：IP 地址批量处理, Wireshark, 句柄查看, 妥协指标, 威胁情报, 安全报告, 库, 应急响应, 开发者工具, 恶意流量分析, 网络安全研究