DeEmperor2/incident-response-001

# 恶意软件流量分析 — Google Authenticator 恶意广告活动 ## 概述 一台 Windows 工作站在用户搜索 Google Authenticator 并点击恶意广告后遭到入侵。本次调查 分析了完整的网络流量捕获，以识别受感染的主机、 恶意软件分发机制以及 C2 基础设施。 ## 使用的工具 - Wireshark — 数据包捕获分析 - VirusTotal — IOC 信誉检查 - Statistics（统计） → Endpoints（端点）/ Conversations（会话） 主机识别 - Kerberos 流量分析用户账户识别 - HTTP 对象导出 — 恶意软件分发识别 ## 关键发现 - 受感染主机：DESKTOP-L8C5GSJ (10.1.17.215) - 用户账户：BLUEMOONTUESDAY\hutchens - 恶意软件分发途径：au.download.windowsupdate.com - C2 服务器：5.252.153.241（15/91 家安全厂商标记为恶意） - 受害者与 C2 之间共交换了 9,076 个数据包 ## 文件 - [事件报告](./incident_report.md) - [时间线](./timeline.md) - [IOC 表格](./ioc_table.csv) - [MITRE ATT&CK 映射](./mitre_mapping.md) - [分析师笔记](./notes.md) - [截图](./screenshots/)

标签：DAST, Wireshark, 句柄查看, 威胁情报, 安全报告, 开发者工具, 恶意软件分析, 防御加固