jroberts2124/TrickBot-Malware-Traffic-Analysis-Using-Wireshark

# 使用 Wireshark 进行 TrickBot 恶意软件流量分析 ## 项目概述 本项目使用 Wireshark 中的抓包数据 (PCAP) 调查了一起 TrickBot 恶意软件感染事件。目标是识别恶意网络活动、分析恶意软件下载、检测命令与控制 (C2) 通信，并提取威胁指标 (IOC)。 ## 使用工具 * Wireshark * Windows Defender * PowerShell * VirusTotal * Malware-Traffic-Analysis.net ## 调查目标 * 识别可疑的 HTTP GET 和 POST 请求 * 分析下载的恶意软件文件 * 检测命令与控制通信 * 提取网络和主机威胁指标 * 将调查结果记录在事件报告中 ## 分析方法 ### 步骤 1：审查 HTTP 流量 应用了以下 Wireshark 过滤器： http 这揭示了与该感染相关的多个可疑 Web 请求。 ### 步骤 2：识别恶意软件下载 应用了以下过滤器： http.request.uri contains ".zip" 发现从外部服务器下载了一个可疑的 ZIP 压缩包。 ### 步骤 3：分析下载的文件 导航至： File → Export Objects → HTTP 识别出多个可疑文件，包括伪装成图像和 PHP 文件的恶意软件 payload。 ### 步骤 4：调查 C2 通信 应用了以下过滤器： ip.addr == 170.238.117.187 tcp.port == 8082 受感染的主机通过 TCP 端口 8082 建立了反复的 HTTP 通信，这与命令与控制活动一致。 ### 步骤 5：分析 POST 请求 应用了以下过滤器： http.request.method == "POST" 观察到受感染系统反复向外部服务器发送 POST 请求，这表明存在恶意软件 beaconing 行为。 ## 调查结果 调查揭示了 TrickBot 的感染链，涉及恶意 ZIP 文件下载、恶意软件 payload 的执行以及向外的命令与控制通信。提取并记录了多个威胁指标。 ## 展示技能 * 网络流量分析 * 恶意软件调查 * 威胁狩猎 * IOC 提取 * Wireshark 分析 * 事件响应 * 安全监控

标签：AI合规, DAST, IP 地址批量处理, Wireshark, 句柄查看, 库, 应急响应, 恶意软件分析, 数字取证, 网络信息收集, 网络安全, 自动化脚本, 隐私保护