lalithvardhan434/Network-traffic-analysis

# 🔬 网络流量分析 — 恶意软件 PCAP 调查 ## 📋 概述 对来自 [malware-traffic-analysis.net](https://malware-traffic-analysis.net) 的两个真实恶意网络捕获的分析 — 该资源被专业 SOC 分析师和威胁情报团队广泛使用。 **构建者：** Lalith Vardhan Boddala **目的：** SOC Analyst L1 作品集 — GitHub / LinkedIn **重点：** 网络取证、恶意软件 C2 分析、IOC 提取、Wireshark ## 🦠 已分析的 PCAP | PCAP | 恶意软件 | 关键发现 | |---|---|---| | 2026-01-31 | Lumma Stealer | C2 位于 whitepepper.su — 外泄了 15,998 字节的受害者数据 | | 2025-01-22 | 虚假软件网站 | 仅 DNS 捕获 — 暴露了内部网络拓扑 | ## 🔍 关键发现 ### PCAP 1 — Lumma Stealer (2026-01-31) **已识别的 C2 基础设施：** ``` Primary C2: whitepepper.su (HTTP port 80) Secondary C2: 172.56.88.98 (payload delivery — failed) Bot ID: 3BF67EC05320C5729578BE4C0ADF174C API Endpoint: /api/set_agent?id=...&token=...&act=log C2 Server: nginx/1.29.1 ``` **外泄的数据（已在 Wireshark HTTP 流中确认）：** - Windows 10 x64, Chrome 144, AMD Radeon R9 200 GPU - 屏幕分辨率 1920x1080，12 个 CPU 核心 - Canvas 指纹（唯一的设备标识符） - 已安装的字体、音频上下文、WebRTC 配置 - 浏览器插件、网络连接质量 - **总计：通过 2 个 POST 请求外泄了 15,998 字节** **其他活动：** - DCE/RPC + LSARPC 流量 — 凭据转储尝试 (T1003.001) - C2 JavaScript 中的 WebDriver 检测 — 沙箱规避 (T1497) - 两阶段交付架构 — 先指纹识别后投递 payload ### PCAP 2 — 虚假软件网站 (2025-01-22) **暴露的网络拓扑：** ``` Internal Domain: bluemoontuesday.com DNS Server: win-gsh54qlw48d (MAC: 00:24:e8:7f:09:5d) Victim Machine: DESKTOP-L8C5GSJ (MAC: 00:d0:b7:26:4a:74) ``` **关键分析发现：** 此捕获中仅 DNS 的流量并不代表网络环境完全正常 — 它反映了在 DNS 服务器级别受限的捕获范围。 实际的恶意软件 C2（可能是 HTTPS）发生在不同的 网段上。这说明了为什么 SOC 分析师在解读 PCAP 时必须 了解网络位置。 ## 🛠️ 使用的 Wireshark 过滤器 ``` # C2 流量识别 http.host == "whitepepper.su" # 数据泄露 — POST 请求 http.request.method == "POST" # DNS 分析 dns dns.flags.response == 1 dns.a # 内部网络拓扑 nbns # 凭据访问 dcerpc lsarpc # 二级 C2 ip.addr == 172.56.88.98 # 感染前流量 frame.number < 24500 && http # 外部连接 ip.dst != 10.1.21.58 && ip.dst != 10.1.21.1 ``` ## 🗺️ MITRE ATT&CK 覆盖范围 ### Lumma Stealer | 技术 | ID | 证据 | |---|---|---| | Drive-by Compromise | T1189 | 初始 HTTP 感染 | | Ingress Tool Transfer | T1105 | 二次 payload 尝试 | | System Information Discovery | T1082 | 外泄的 OS/硬件信息 | | Browser Information Discovery | T1217 | 枚举的 Chrome 插件 | | OS Credential Dumping: LSASS | T1003.001 | LSARPC 流量 | | Exfiltration Over HTTP | T1041 | 15,998 字节发送至 whitepepper.su | | Masquerading | T1036 | 使用的 Chrome User-Agent | | Virtualization/Sandbox Evasion | T1497 | WebDriver 检测 | ### 虚假软件网站 | 技术 | ID | 证据 | |---|---|---| | DNS C2 | T1071.004 | 仅 DNS 流量模式 | | Dynamic Resolution | T1568 | 动态 DNS 更新 | | Non-Application Layer Protocol | T1095 | ICMP port unreachable | ## 📁 仓库结构 ``` network-traffic-analysis/ ├── README.md ├── analysis/ │ ├── lumma-stealer-analysis.md ← full C2 + exfil analysis │ └── fake-software-site-analysis.md ← DNS pattern + topology ├── ioc-lists/ │ ├── lumma-iocs.md ← C2 IPs, domains, tokens │ └── fake-software-iocs.md ← hostnames, MACs, behaviours └── screenshots/ ├── wireshark-protocol-hierarchy-lumma.png ├── wireshark-http-objects-lumma.png ├── wireshark-c2-traffic-whitepepper.png ├── wireshark-http-stream-exfiltration.png ├── wireshark-conversations-lumma.png ├── wireshark-dns-2025.png └── wireshark-dns-responses-2025.png ``` ## 🎯 展示的技能 `Wireshark` `PCAP 分析` `恶意流量分析` `C2 检测` `IOC 提取` `HTTP 流分析` `DNS 取证` `浏览器指纹识别` `MITRE ATT&CK` `网络取证` `威胁情报` `Lumma Stealer` `协议分析` `凭据访问检测` ## 🔗 相关项目 - [Splunk SIEM 家庭实验室](https://github.com/lalithvardhan434/splunk-siem-homelab) — 项目 1 - [钓鱼事件响应](https://github.com/lalithvardhan434/phishing-incident-response) — 项目 2 *Lalith Vardhan Boddala | SOC 家庭实验室作品集* *PCAP 来源：malware-traffic-analysis.net (Brad Duncan)*

标签：DAST, Wireshark, 句柄查看, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本