stardorri/malware-pcap-analysis-lab
GitHub: stardorri/malware-pcap-analysis-lab
一个针对 HawkEye Reborn v9 恶意软件的网络流量取证分析实验,完整记录了从钓鱼感染到 SMTP 数据外传的调查过程及 IOC 提取结果。
Stars: 0 | Forks: 0
# 恶意软件 PCAP 分析实验室
## 概述
本代码仓库包含了我对数据包捕获 (PCAP) 文件中记录的恶意软件感染事件的分析。目的是调查网络活动、识别受害系统、追踪恶意软件执行过程、确定数据外传方法,并恢复被盗的凭证。
本实验侧重于以下领域的实用技能:
* 网络流量分析
* 恶意软件调查
* DNS 分析
* HTTP 分析
* 电子邮件外传分析
* IOC 提取
* 数字取证
## 使用的工具
* Wireshark
* VirusTotal(IOC 验证)
* WHOIS Lookup
* DNS 分析
* GeoIP Lookup
* Hash 分析
## 调查摘要
### 捕获统计信息
| 问题 | 答案 |
| ---------------------------- | ---------------- |
| 数据包总数 | 4003 |
| 首个数据包时间戳 (UTC) | 2019-04-10 20:37 |
| 捕获持续时间 | 01:03:41 |
## 攻击时间线
1. 受害工作站 BEIJING-5CD1-PC 获取网络配置。
2. 受害者解析 proforma-invoices.com。
3. 域名解析至 217.182.138.150。
4. 受害者下载 tkraw_Protected99.exe。
5. HawkEye Reborn v9 执行。
6. 恶意软件向 Exim 4.91 SMTP 服务器进行身份验证。
7. 收集到的凭证被编码为 Base64。
8. 数据每 10 分钟外传一次。
9. 在分析过程中恢复了凭证。
### 网络识别
**最活跃的 MAC 地址**
00:08:02:1c:47:ae
**网卡制造商**
Hewlett-Packard
**制造商总部**
Palo Alto, California
**内部网络上识别出的系统**
在组织的 /24 网络内检测到 3 台主机。
**最活跃的主机**
BEIJING-5CD1-PC
**DNS 服务器**
10.4.10.4
### 初始感染
受害系统执行了以下地址的 DNS 查询:
proforma-invoices.com
解析的 IP:
217.182.138.150
国家:
France
此活动表明用户与网络钓鱼活动中常见的恶意发票主题诱饵进行了交互。
### 受害系统
操作系统:
Windows NT 6.1
这表明受害者运行的是 Windows 7。
### 恶意软件下载
下载的文件:
tkraw_Protected99.exe
MD5 Hash:
71826BA081E303866CE2A2534491A2F7
托管 Web 服务器:
LiteSpeed
### 外部暴露
受害者公网 IP:
173.66.146.112
### 数据外传分析
恶意软件通过电子邮件传输了被盗信息。
目标电子邮件服务器所在国家:
United States
邮件服务器软件:
Exim 4.91
目标账户:
[sales.del@macwinlogistics.in](mailto:sales.del@macwinlogistics.in)
使用的 SMTP 密码:
Sales@23
### 恶意软件识别
恶意软件变种:
Reborn v9
该恶意软件定期收集并外传受害者数据的频率为每:
10 分钟
### 恢复的受损凭证
分析期间恢复的示例凭证:
Bank of America
用户名:
roman.mcguire
密码:
P@ssw0rd$
## 攻陷指标 (IOC)
### 域名
* proforma-invoices.com
### IP 地址
* 217.182.138.150
* 173.66.146.112
### 文件名
* tkraw_Protected99.exe
### Hash
* 71826BA081E303866CE2A2534491A2F7
### 电子邮件基础设施
* [sales.del@macwinlogistics.in](mailto:sales.del@macwinlogistics.in)
## 展示的技能
* 数据包分析
* DNS 调查
* HTTP 流量分析
* 恶意软件分发识别
* IOC 提取
* 凭证恢复
* 电子邮件外传检测
* 威胁归因
* 数字取证
## 经验教训
本练习展示了攻击者如何:
1. 使用钓鱼主题的域名来诱骗受害者。
2. 通过下载可执行文件分发恶意软件。
3. 建立持久化并定期收集受害者数据。
4. 通过 SMTP 服务外传信息。
5. 留下多个可通过网络流量分析识别的指标。
## 事件结论
分析揭示了一起通过钓鱼主题域名分发的 HawkEye Reborn v9 感染。
该恶意软件下载了可执行的有效载荷,收集了浏览器凭证,并定期通过 SMTP 将被盗信息外传至攻击者控制的邮箱。
恢复的工件包括受害者凭证、SMTP 身份验证数据、恶意软件 hash 以及适用于检测工程和事件响应活动的网络指标。
该实验强调了数据包分析和网络取证在事件响应调查中的重要性。
标签:DAST, DNS 反向解析, Elastic, IOC提取, IP 地址批量处理, Wireshark, 凭据恢复, 句柄查看, 域环境安全, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本