ag48665/lumma-stealer-network-analysis

# Lumma Stealer 网络流量分析      ## 报告 详细的取证报告位于 `reports/` 目录中。 - `reports/Lumma_Stealer_Network_Analysis_Report.pdf` ## 目录 - 概述 - 攻击流程 - 分析目标 - 仓库结构 - 使用的工具 - 攻陷指标 - 协议分析 - 检测机会 - MITRE ATT&CK 映射 - 感染时间线 - 结论 - 免责声明 - 参考资料 - 作者 ## 概述 本项目使用 Wireshark 展示了对 Lumma Stealer 恶意软件感染的取证网络流量分析。其目标是识别感染过程、分析网络通信、提取攻陷指标，并观察恶意软件如何与其命令与控制（C2）基础设施进行通信。 ## 攻击流程 ``` Internet │ ┌──────────────────────┐ │ genhqq.xyz │ │ 144.172.115.212 │ └──────────────────────┘ ▲ TLS 443 │ ┌─────────────────┐ │ Victim │ │10.6.26.101 │ └─────────────────┘ │ HTTP Download ▼ 86.54.25.50 soks.exe ``` ## 分析目标 - 识别恶意软件通信流程。 - 提取基于网络的攻陷指标。 - 分析 DNS、TCP 和 TLS 通信。 - 识别命令与控制（C2）基础设施。 - 恢复下载的恶意软件 payload。 - 记录攻击时间线。 ## 仓库结构 ``` . ├── README.md ├── images/ │ ├── 01_protocol_hierarchy.png │ ├── ... │ └── 18_tcp_endpoints.png └── pcap/ └── 2025-06-26-Lumma-Stealer-infection-with-follow-up-malware.pcap ``` ## 使用的工具 - Wireshark - VirusTotal - Any.Run - Hybrid Analysis ## 攻陷指标 | 指标 | 值 | |-----------|-------| | 恶意软件 | Lumma Stealer | | 域名 | genhqq.xyz | | C2 IP | 144.172.115.212 | | 下载主机 | 86.54.25.50 | | 下载文件 | soks.exe | | 协议 | HTTPS | | 端口 | TCP/443 | ## 协议分析 ## 协议层次  协议层次统计提供了过滤后的抓包中观察到的所有协议的概述。通信完全由基于 TCP 且经过 TLS 加密的 IPv4 流量组成。这证实了恶意软件使用加密的 HTTPS 会话进行通信。 ## IPv4 端点  IPv4 端点统计识别了恶意会话期间所有通信的主机。受感染的工作站（10.6.26.101）主要与远程命令与控制服务器（144.172.115.212）进行通信。 ## IPv4 会话  IPv4 会话视图总结了受感染主机与远程系统之间的双向通信。在应用的过滤器内仅存在一次会话，确认了对恶意连接的隔离分析。 ## 命令与控制通信  针对 IP 地址 **144.172.115.212** 过滤流量，揭示了受感染主机建立的完整 TCP 会话。在 TCP 三次握手之后，客户端发起了包含服务器名称指示（SNI）**genhqq.xyz** 的 TLS 连接，证实了与恶意软件命令与控制基础设施的通信。 ## TLS 握手 (SNI)  通过服务器名称指示过滤 TLS Client Hello 数据包，显示了对 **genhqq.xyz** 的重复连接。多次 TLS 握手表明在感染期间持续尝试与命令与控制服务器进行通信。 ## 跟踪 TCP 流  TCP 流显示了受感染主机与远程服务器之间交换的加密 TLS 应用程序数据。虽然没有会话密钥无法解密 payload，但该流清楚地暴露了主机名 **genhqq.xyz**，证实了恶意软件使用的通信目标。 ## I/O 图表  Wireshark I/O 图表可视化了感染期间的数据包活动。明显的流量峰值对应于恶意软件的通信以及与远程基础设施的加密数据传输。 ## 协议层次（过滤后的 TLS 会话）  过滤恶意会话后，协议层次确认大部分传输的字节属于 TLS 协议。这表明恶意软件使用了基于 TCP 的加密通信。 ## TLS 握手详情  TLS 握手显示了受感染工作站发送的 Client Hello 消息。服务器名称指示（SNI）字段暴露了域名 **genhqq.xyz**，从而允许在加密情况下识别目标。 ## TCP 序列号图表  TCP 时间-序列图说明了加密会话期间传输数据的进展情况。序列号的快速增加表明受感染主机与命令与控制服务器之间成功进行了数据交换。 ## 导出的 HTTP 对象  导出 HTTP 对象揭示了从主机 **86.54.25.50** 下载的恶意软件 payload **soks.exe**。这证实了感染链中的恶意软件投递阶段。 ## SMB 导出对象  在抓包中未识别到 SMB 对象，表明在观察到的感染过程中未使用 SMB。 ## DICOM 导出对象  在抓包过程中未检测到 DICOM 流量。 ## TFTP 导出对象  不存在 TFTP 对象，表明恶意软件未使用此协议。 ## 专家信息  Wireshark 专家信息仅报告了少量 TCP 事件，例如 SYN、SYN/ACK 和一次 TCP 重置。除了正常的连接建立和终止外，未检测到明显的协议异常。 ## 攻陷指标表  提取的攻陷指标总结了分析过程中发现的关键工件，包括恶意域名、命令与控制 IP 地址、下载的 payload 和传输协议。 ## DNS 查询  DNS 查询显示受感染工作站在建立加密 TLS 会话之前解析了 **genhqq.xyz**。这证实了在与恶意基础设施通信之前的域名查找行为。 ## TCP 通信端点  TCP 端点视图列出了恶意会话期间建立的所有 TCP 连接。它证实了受感染工作站与多个外部主机之间的通信，包括恶意命令与控制服务器和 payload 下载服务器。 ## 检测机会 - 针对可疑域名的 DNS 监控 - TLS SNI 检测 - 检测到向罕见域名的出站 HTTPS 连接 - 监控通过 HTTP 下载的可执行文件 - 阻断已知的恶意 IoCs ## MITRE ATT&CK 映射 | 战术 | 技术 | 描述 | |---------|-----------|-------------| | Command and Control | T1071.001 | Web 协议 (HTTPS) | | Command and Control | T1573 | 加密通道 (TLS) | | Command and Control | T1105 | 入口工具传输 | | Discovery | T1016 | 系统网络配置发现（观察到网络通信） | ## 感染时间线 1. 受害者执行对 **genhqq.xyz** 的 DNS 查询 2. TCP 三次握手 3. TLS Client Hello (SNI = genhqq.xyz) 4. 建立加密通信 5. 恶意软件下载 **soks.exe** 6. 与 C2 保持持久的加密通信 # 结论 本分析展示了一次典型的 Lumma Stealer 感染链，从 DNS 解析开始，接着是与命令与控制（C2）服务器的加密 TLS 通信，最后通过 HTTP 获取恶意软件 payload。受感染的工作站首先解析恶意域名 **genhqq.xyz**，与 C2 服务器（**144.172.115.212**）建立加密 TLS 会话，并从 **86.54.25.50** 检索恶意软件 payload **soks.exe**。 尽管 TLS 加密阻止了对应用 payload 的检查，但 Wireshark 提供了充足的网络元数据——包括 DNS 查询、服务器名称指示（SNI）、IP 地址、TCP 会话和导出的 HTTP 对象——以识别恶意基础设施并重建攻击时间线。 恢复的攻陷指标可用于威胁狩猎、入侵检测、恶意软件检测和事件响应活动。 ## 免责声明 本项目仅用于教育、研究和恶意软件分析目的。所有攻陷指标均为公开已知，提供以支持网络安全教育和防御性安全实践。 ## 参考资料 - Malware-Traffic-Analysis.net - Wireshark 文档 - MITRE ATT&CK - VirusTotal ## 作者 **Agata Gabara** - GitHub: https://github.com/ag48665 - LinkedIn: https://www.linkedin.com/in/agatha-gabara-06494a37/

标签：DAST, IP 地址批量处理, 安全报告, 恶意软件分析, 数字取证, 网络信息收集, 网络流量分析, 自动化脚本