Sufiyan-SOC/malware-traffic-analysis-wireshark
GitHub: Sufiyan-SOC/malware-traffic-analysis-wireshark
该项目是一个基于 Wireshark 的恶意软件流量分析实战实验,演示了如何从 PCAP 文件中提取恶意载荷并通过威胁情报平台验证 AgentTesla 木马。
Stars: 0 | Forks: 0
🔍 使用 Wireshark 进行恶意软件流量调查
📌 概述
本项目记录了使用 Wireshark 对可疑 PCAP 文件进行的实战风格恶意软件流量分析。调查重点在于识别通过 HTTP 进行的恶意文件传输、提取 payload,并使用 VirusTotal 等威胁情报平台进行验证。
所分析的样本被鉴定为与 AgentTesla 相关的恶意软件,这是一种臭名昭著的信息窃取工具。
🎯 目标
分析来自 PCAP 文件的可疑网络流量
识别恶意的 HTTP 文件下载
从网络流中提取传输的可执行文件
执行基于哈希的恶意软件验证
使用 VirusTotal 进行威胁情报验证
记录危害指标 (IOC)
🧰 使用的工具与技术
🐬 Wireshark(数据包分析)
💻 Linux / Windows 环境
🧪 SHA256 哈希工具
🌐 VirusTotal(威胁情报平台)
📁 PCAP 文件分析
🧪 调查工作流
1️⃣ 加载 PCAP 文件
在 Wireshark 中打开捕获文件,进行初步的流量检查和协议分析。
2️⃣ HTTP 对象提取
使用:
File → Export Objects → HTTP
发现了一个通过 HTTP 传输的可疑可执行文件。
3️⃣ 识别可疑请求
以下请求被标记为恶意:
hxxp:[//]103.232.55.148/service/.audiodg.exe
🔴 指标:
模仿 Windows 进程的异常可执行文件名称 (audiodg.exe)
隐藏的文件前缀 (.audiodg.exe)
通过 HTTP 直接下载(未加密)
4️⃣ 文件提取与分析
该文件从网络流中提取并保存在本地以供分析。
基本检查确认:
文件类型:Windows 可执行文件 (.exe)
可疑的命名模式
无合法的供应商签名
5️⃣ 哈希生成
生成了 SHA256 哈希用于恶意软件识别:
SHA256:
f485d1a65ccf9f857baa49725d337c15e8aa34515b85c8ef59a72afad7b85249
6️⃣ VirusTotal 分析
该哈希被提交给 VirusTotal 进行信誉分析。
🔴 结果:
57 / 71 家安全供应商将该文件标记为恶意
被识别为 AgentTesla 恶意软件家族
🚨 危害指标 (IOC)
类型 值
🌐 IP 地址 103.232.55.148
📁 文件名 .audiodg.exe
🧬 恶意软件家族 AgentTesla
🔑 SHA256 哈希 f485d1a65ccf9f857baa49725d337c15e8aa34515b85c8ef59a72afad7b85249
🧠 关键发现
恶意软件通过未加密的 HTTP 流量进行分发
攻击者使用听起来像合法 Windows 进程的名称来逃避检测
网络流量分析可以有效地揭示恶意软件分发链
威胁情报平台有助于快速验证可疑的恶意文件
📚 展示的技能
网络流量分析
使用 Wireshark 进行数据包检查
从 PCAP 文件中提取恶意软件
哈希与文件完整性校验
威胁情报分析
IOC 识别与报告
⚠️ 安全洞察
此案例突显了攻击者通常使用的手法:
基于 HTTP 的分发机制
进程伪装技术
信息窃取恶意软件 (AgentTesla)
防御者应监控:
可疑的出站 HTTP 请求
未知的可执行文件下载
非标准的文件命名模式
📌 结论
本次调查展示了网络取证和数据包分析如何在早期阶段发现恶意软件感染。通过将 Wireshark 分析与 VirusTotal 等威胁情报平台相结合,我们能够有效地识别并验证恶意活动。
标签:Ask搜索, DAST, HTTP工具, IP 地址批量处理, VirusTotal, Wireshark, 取证, 句柄查看, 威胁情报, 安全实验室, 开发者工具, 恶意软件分析