CyberJessInvestigations/Network-Traffic-Analysis-NetSupport-RAT

# 网络流量分析作品集 这是一个网络流量分析作品集项目，使用 Wireshark 调查恶意 PCAP，识别受感染的 Windows 主机，确认 NetSupport Manager RAT 命令与控制流量，提取入侵指标，使用威胁情报工具丰富发现结果，并记录建议的响应措施。 # 网络流量分析：NetSupport Manager RAT C2 调查 ## 项目概述 本项目使用 Wireshark 分析来自 Malware-Traffic-Analysis.net 的恶意网络流量捕获。调查侧重于识别受感染的 Windows 主机、审查 DNS 和 HTTP 流量、分析 TCP 流、提取入侵指标，以及确认 NetSupport Manager RAT 命令与控制活动。 该场景涉及一台受感染的 Windows 工作站与可疑的外部基础设施进行通信。受感染的主机向攻击者控制的服务器发送了重复的出站 HTTP POST 请求，其流量看似混入在正常的 Web 通信中。 调查遵循 SOC 风格的工作流程：识别受感染的主机、分析可疑的网络行为、提取 IOC、使用威胁情报平台丰富发现结果、确定恶意软件家族，并推荐响应措施。 ## 目标 该项目的目标是调查可疑的网络流量，识别受感染的 Windows 主机，收集入侵指标，确认恶意软件家族，并以专业的安全事件报告格式记录调查结果。 本项目展示了如何使用网络流量分析来回答重要的应急响应问题，包括： - 哪个内部主机被感染了？ - 该主机与哪个外部 IP 地址进行了通信？ - 涉及哪些可疑的域名和 URL？ - 什么样的网络行为表明存在命令与控制活动？ - 该流量与哪个恶意软件家族有关？ - 应该阻止或监控哪些 IOC？ - 应该采取什么响应措施？ ## 使用工具 - Wireshark - VirusTotal - AbuseIPDB - AlienVault OTX - Shodan - Malware-Traffic-Analysis.net - GitHub ## PCAP 来源 来源：Malware-Traffic-Analysis.net 练习：2026-02-28 流量分析练习 恶意软件家族：NetSupport Manager RAT 注意：本仓库不包含原始 PCAP 文件。本项目仅包含屏幕截图、笔记、入侵指标以及最终调查报告。 ## 场景 观察到一台 Windows 工作站与可疑的外部基础设施进行通信。该流量包含发往外部 IP 地址和可疑 URL 路径的重复出站 HTTP POST 请求。 进一步分析表明，该流量使用了 `NetSupport Manager/1.3` User-Agent 字符串。NetSupport Manager 是一款合法的远程访问工具，但经常被威胁行为者滥用，将其作为远程访问木马，用于未经授权的远程控制和命令与控制活动。 ## 案例总结 | 字段 | 值 | |---|---| | 事件日期 | 2026-02-28 | | 报告日期 | 2026-06-10 | | PCAP 来源 | Malware-Traffic-Analysis.net | | 受感染主机 | 10.2.28.88 | | 主机名 | DESKTOP-TEYQ2NR | | MAC 地址 | 00:19:d1:b2:4d:ad | | Windows 账户 | brolf | | 全名 | Becka Rolf | | 恶意软件家族 | NetSupport Manager RAT | | C2 IP 地址 | 45.131.214.85 | | 可疑域名 | vadusa.xyz | | 可疑 URL | http://45.131.214.85/fakeurl.htm | | 严重程度 | 高 | | 状态 | 调查完成 | ## 调查工作流程 调查遵循结构化的网络流量分析工作流程： 1. 在 Wireshark 中打开 PCAP 2. 查看端点统计信息 3. 查看会话统计信息 4. 识别最活跃的内部主机 5. 过滤 DNS 流量以查找可疑的域名查询 6. 识别可疑域名 `vadusa.xyz` 7. 确认该域名解析为 `45.131.214.85` 8. 过滤 HTTP POST 流量 9. 识别发往 `/fakeurl.htm` 的重复 POST 请求 10. 跟踪可疑的 TCP 流 11. 确认 `NetSupport Manager/1.3` User-Agent 字符串 12. 提取入侵指标 13. 使用 VirusTotal、AbuseIPDB、AlienVault OTX 和 Shodan 丰富 IOC 14. 确定恶意软件家族为 NetSupport Manager RAT 15. 记录调查结果并建议响应措施 ## 关键发现 调查识别出一台受感染的 Windows 主机正在与已确认的恶意基础设施进行通信。 关键发现包括： - 确认内部主机 `10.2.28.88` 为受感染的系统。 - 该受感染主机与外部 IP `45.131.214.85` 进行了通信。 - DNS 流量显示了可疑域名 `vadusa.xyz`。 - 该域名解析为可疑 HTTP 流量中使用的相同外部 IP 地址。 - HTTP POST 流量显示了对 `http://45.131.214.85/fakeurl.htm` 的重复请求。 - HTTP User-Agent 为 `NetSupport Manager/1.3`。 - TCP 流分析确认了可疑的 NetSupport Manager 通信。 - 威胁情报工具将该 IP、域名和 URL 标记为恶意或可疑。 - 该流量符合 NetSupport Manager RAT 命令与控制行为。 ## 受感染主机详情 | 字段 | 值 | |---|---| | IP 地址 | 10.2.28.88 | | 主机名 | DESKTOP-TEYQ2NR | | MAC 地址 | 00:19:d1:b2:4d:ad | | Windows 账户 | brolf | | 全名 | Becka Rolf | | 操作系统平台 | Windows | | 内部子网 | 10.2.28.0/24 | | 恶意软件家族 | NetSupport Manager RAT | 该主机应被视为已完全受到控制，因为它与恶意基础设施进行了通信，并显示出与远程访问恶意软件一致的流量模式。 ## 端点和会话分析 Wireshark 端点统计信息用于识别捕获中最活跃的内部 IP 地址。主机 `10.2.28.88` 非常显眼，因为它产生了最高的流量。 然后使用“会话”视图来确认 `10.2.28.88` 参与了与外部系统的高频通信。 观察到的热门外部 IP 地址包括： | 外部 IP | 备注 | |---|---| | 45.131.214.85 | 主 C2 服务器；确认恶意 | | 23.218.232.148 | 流量中观察到的外部 IP | | 45.131.214.74 | 流量中观察到的外部 IP | | 150.171.28.11 | 流量中观察到的外部 IP | | 23.192.223.23 | 流量中观察到的外部 IP | 大部分可疑活动集中在与 `45.131.214.85` 的连接中。 ## DNS 分析 使用以下 Wireshark 过滤器审查了 DNS 流量： ``` dns ```

标签：DAST, IP 地址批量处理, Wireshark, 句柄查看, 威胁情报, 安全事件响应, 开发者工具, 恶意软件分析, 网络信息收集, 网络流量分析