rus1tam/malware_analysis

# 恶意流量分析 — Reveton 勒索软件调查 ## 概述 本项目旨在使用 Wireshark 分析感染后的网络流量，以识别恶意行为、检测命令与控制（C2）通信，并确定攻击者的目的。 本次调查使用的数据包捕获（PCAP）来自与 **Reveton 警察锁屏勒索软件**相关的真实恶意流量分析数据集。 ## 目标 本次调查的目标是： * 识别受感染的主机 * 检测可疑的外部通信 * 分析网络协议和流量模式 * 提取失陷标示（IOC） * 确定可能的恶意软件行为和攻击者目的 * 提供检测和缓解建议 ## 使用的工具 * Wireshark * PCAP 分析 * 协议层级分析 * 端点和会话统计 * 威胁情报关联 ## 场景 通过分析感染后的 PCAP，调查本地网络内的可疑网络行为。 目的是确定是否存在恶意软件通信，并找出系统被攻陷的证据。 ## 关键发现 ### 受感染的主机 * **192.168.122.231** ### 可疑的外部 IP * **109.200.5.91** * **107.181.174.5** ### 协议分析 流量主要包括： * Ethernet * IPv4 * TCP * TLS / SSL 关键观察： * **TLS 占据了总流量字节的约 84.6%** 这表明存在大量加密通信。 ## 失陷标示（IOC） * 与可疑公网 IP 的直接出站通信 * 通过端口 443 的加密 TLS 流量 * 未观察到 DNS 解析 * 重复的类似信标的流量模式 * 与外部基础设施的持续通信 ## 恶意软件行为分析 流量分析揭示了重复的小型加密数据包交换，这与**命令与控制（C2）信标**行为一致。 典型的信标周期： 1. 恶意软件发送状态更新 2. 服务器响应命令/配置 3. 恶意软件等待 4. 过程重复 这种行为强烈暗示恶意软件正在与攻击者控制的基础设施保持通信。 ## 威胁情报关联 威胁情报将此数据集与 **Reveton 勒索软件**关联起来。 Reveton 是一个**警察锁屏勒索软件**家族，它会： * 锁定受害者的屏幕 * 显示虚假的执法警告 * 使用心理恐吓 * 要求通过预付代金券支付赎金 与现代的加密型勒索软件不同，Reveton 通常**不加密文件**，而是阻止用户访问系统。 ## 影响评估 潜在的攻击者目的包括： * 受害者注册 * 命令与控制通信 * 配置检索 * 投递勒索信息 * 系统锁定 * 经济勒索 ## 检测建议 ### 网络安全 * 封锁已知的恶意 IP 地址 * 监控指向罕见 IP 的出站 TLS 连接 * 实施出站流量过滤 * 检测周期性的信标模式 ### 端点安全 * 部署 EDR 解决方案 * 保持浏览器和插件补丁更新 * 提高恶意软件检测能力 * 限制未经授权的执行 ### SIEM 规则 针对以下情况发出警报： * 指向同一罕见 IP 的多个出站连接 * 没有 DNS 解析的 TLS 会话 * 重复的小数据包交换 * 长时间存活的可疑加密会话 ## 展示的技能 本项目展示了在以下方面的实战蓝队 / SOC 分析师技能： * 网络流量分析 * 恶意软件调查 * IOC 提取 * 威胁狩猎 * 事件响应 * 安全报告 ## 结论 本次调查证实了与 **Reveton 勒索软件**相关的感染后恶意软件活动。 分析表明，受感染的主机在没有 DNS 解析的情况下，通过端口 443 与可疑的基础设施建立了重复的加密出站连接。流量模式强烈表明存在用于支持勒索软件运作的命令与控制通信。 本项目展示了调查真实世界恶意流量的能力，以及从数据包级别的证据中提取可执行安全洞察的能力。

标签：DAST, IP 地址批量处理, Wireshark, 句柄查看, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 自动化脚本