CyberJessInvestigations/Network_Traffic_Analysis_Portfolio
GitHub: CyberJessInvestigations/Network_Traffic_Analysis_Portfolio
一个网络安全流量分析作品集项目,使用 Wireshark 调查恶意 PCAP 以识别 NetSupport Manager RAT 活动并提取 IOC,结合威胁情报工具完成事件调查报告。
Stars: 0 | Forks: 0
# 网络流量分析作品集
使用 Wireshark 调查恶意 PCAP 的网络流量分析作品集项目,旨在识别 NetSupport Manager RAT 活动、提取 IOC,并使用威胁情报工具丰富调查结果。
# 网络流量分析:NetSupport Manager RAT 调查
## 项目概述
本项目使用 Wireshark 分析来自 Malware-Traffic-Analysis.net 的恶意 PCAP。调查重点在于识别受感染的主机、审查 DNS 和 HTTP 流量、提取危害指标 (IOC),并通过威胁情报丰富化来确认 NetSupport Manager RAT 活动。
## 目标
本项目的目标是调查可疑的网络流量、识别受感染的 Windows 主机、收集 IOC,并以专业的安全事件报告形式记录调查结果。
## 使用的工具
* Wireshark
* VirusTotal
* AbuseIPDB
* AlienVault OTX
* Shodan
* Malware-Traffic-Analysis.net
## PCAP 来源
* 来源:Malware-Traffic-Analysis.net
* 练习:2026-02-28 流量分析练习 — Easy as 123
* 恶意软件家族:NetSupport Manager RAT
注:本仓库不包含原始 PCAP 文件。本项目仅包含用于文档记录目的的截图、笔记和最终报告。
## 关键发现
* 确定疑似受感染的主机为 `10.2.28.88`
* 确认了 NetSupport Manager RAT 流量
* 观察到针对可疑外部基础设施的重复 HTTP POST 请求
* 识别出可疑 IP 地址 `45.131.214.85`
* 识别出可疑域名 `vadusa.xyz`
* 发现针对 `fakeurl.htm` endpoint 的重复流量
* 使用 VirusTotal、AbuseIPDB、AlienVault OTX 和 Shodan 丰富了 IOC
* 将调查结果与 Malware-Traffic-Analysis.net 的官方答案进行了对比
## 危害指标 (IOC)
| 类型 | 值 | 描述 | 来源 |
| ----------- | ---------------------------------- | --------------------------------------------------------------------------------------------- | --------------------------------- |
| IP Address | `45.131.214.85` | 受感染主机联系的外部 IP,与 NetSupport Manager RAT 流量相关 | Wireshark, VirusTotal, OTX, Shodan |
| Domain | `vadusa.xyz` | 解析为 `45.131.214.85` 的可疑域名 | Wireshark DNS, VirusTotal, OTX |
| URL | `http://45.131.214.85/fakeurl.htm` | 流量中观察到的重复 HTTP POST endpoint | Wireshark, VirusTotal |
| HTTP Object | `fakeurl.htm` | 与可疑 POST 流量相关的重复 HTTP 对象 | Wireshark HTTP Objects |
| User-Agent | `NetSupport Manager/1.3` | 可疑 POST 流量中观察到的 User-Agent | Wireshark HTTP Stream |
## 恶意软件识别
该流量被识别为 NetSupport Manager RAT 活动。这一结论得到了重复 HTTP POST 请求、`NetSupport Manager/1.3` User-Agent、HTTP stream 中的命令式字段以及 Malware-Traffic-Analysis.net 官方答案的证实。
## 威胁情报摘要
VirusTotal 将该 IP、域名和 URL 标记为恶意。AlienVault OTX 确认了域名和基础设施的详细信息,而 Shodan 显示该可疑 IP 开放了 80 端口并运行着基于 Python 的 HTTP 服务器。AbuseIPDB 未报告该 IP 的滥用记录,这被作为一项阴性发现记录在案。
## 报告
完整报告已包含在此仓库中:
`Network_Traffic_Analysis_Report.pdf`
## 截图
包含的截图用于记录调查过程,包括:
* Wireshark 受感染主机过滤
* DNS 分析
* HTTP POST 流量
* HTTP stream 分析
* HTTP Objects 导出
* VirusTotal 结果
* AbuseIPDB 结果
* AlienVault OTX 结果
* Shodan 结果
* Malware-Traffic-Analysis.net 官方答案对比
## 经验总结
本项目帮助加深了我对恶意 PCAP 分析、IOC 提取、HTTP POST 流量审查、DNS 调查和威胁情报丰富的理解。它还表明了在多个工具之间验证结果的重要性,以及在平台未返回结果时记录阴性发现的必要性。
## 联系方式
- GitHub: [CyberJessInvestigations](https://github.com/CyberJessInvestigations)
- LinkedIn: 添加你的 www.linkedin.com/in/jessicasansaricq
- 作品集/YouTube: https://www.youtube.com/@CyberJessInvestigations
标签:IP 地址批量处理, Wireshark, 句柄查看, 威胁情报, 安全报告, 开发者工具, 网络信息收集, 网络安全, 隐私保护