chirayupalandurkar07-eng/strrat-pcap-triage

# STRRAT 恶意软件 PCAP 分析 **分析师：** Chirayu Mahendra Palandurkar **日期：** 2026年6月18日 **报告编号：** IR-2024-0730-001 **工具：** Wireshark 4.6.6 · VirusTotal · Kali Linux **来源：** [Malware-Traffic-Analysis.net](https://www.malware-traffic-analysis.net/2024/07/30/index.html) ## 概述 针对真实环境中的 STRRAT 感染进行的恶意流量分析。 在所有 91 个 VirusTotal 厂商引擎均显示结果正常的情况下， 仅通过流量行为成功识别出该恶意软件家族。 生成了一份完整的行业级 SOC 事件报告。 ## 关键发现 | IOC | 值 | 详情 | |-----|-------|--------| | C2 域名 | wiresharkworkshop.online | 观察到 50 次 DNS 查询 | | C2 IP (内部) | 172.16.1.4:49676/TCP | 被攻陷的域控制器 | | C2 IP (外部 1) | 23.215.55.140:80/HTTP | GET /connecttest.txt | | C2 IP (外部 2) | 208.95.112.1:80/HTTP | GET /json/ (受害者画像分析) | | 受害者 IP | 172.16.1.66 | DESKTOP-SKBR25F | | 用户账户 | ccollier | 凭据存在风险 | **关键发现：** 208.95.112.1 已被确认为恶意 C2 基础设施 —— VirusTotal 的厂商检出率为 0/91，但 社区评分为 -95 且 ArcSight 触发了 HIGH 严重级别的告警。 基于特征码的检测未能检出全部 3 个外部 IOC。 行为分析是唯一的检测方法。 ## MITRE ATT&CK 映射 | 技术 ID | 名称 | 观察到的行为 | |---|---|---| | T1071.001 | 应用层协议: HTTP | 指向外部服务器的 C2 回调 | | T1018 | 远程系统发现 | LDAP/Kerberos 枚举 | | T1046 | 网络服务扫描 | 通过 DNS 进行服务发现 | | T1041 | 通过 C2 通道外发数据 | 连往 172.16.1.4 的持久 TCP 连接 | | T1078 | 有效账户 | ccollier 凭据存在风险 | ## 分析方法论 1. 应用 DNS 过滤器 —— 隔离出针对可疑域名的 50 次查询 2. 过滤受害者到 C2 的流量 —— 在端口 49676（STRRAT C2 端口）上发现 908 个数据包 3. 应用 HTTP 过滤器 —— 发现指向 2 个 C2 IP 的外部回调 4. 在 VirusTotal 上交叉比对所有 IOC 5. 生成包含 11 个部分的 SOC 事件报告 ## 交付物 📄 包含嵌入证据和 MITRE ATT&CK 映射的完整事件报告：`IR-2024-0730-001_STRRAT_Incident_Report.pdf` ## 法律声明 分析基于 Malware-Traffic-Analysis.net 提供的公开培训 PCAP 文件， 仅供教育目的使用。

标签：DAST, Wireshark, 句柄查看, 威胁情报, 库, 应急响应, 开发者工具, 恶意软件分析, 插件系统