nzubeio/netsupport-rat-analysis

GitHub: nzubeio/netsupport-rat-analysis

一份完整的 NetSupport RAT 恶意软件感染事件响应报告,通过 Wireshark 深度数据包分析追踪 C2 Beaconing 行为并提取入侵指标。

Stars: 0 | Forks: 0

# 安全事件报告:NetSupport RAT 恶意 Beaconing 分析 ## 1. 执行摘要 * **事件类型:** 未经授权的远程访问 / 恶意软件 Beaconing * **严重程度:** 高 * **发现日期:** 2026年2月28日 * **状态:** 已控制 / 调查中 ### 概述 2026年2月28日,一项常规安全审查发现了一台内部主机(`10.2.28.88`)发出的可疑外联网络流量。分析证实该主机已感染 **NetSupport Manager 远程访问木马(RAT)**。该恶意软件成功与位于 `45.131.214.85` 的外部命令与控制(C2)服务器建立了持久连接。 该未经授权的软件通过伪装成常规 Web 流量的 HTTP POST 请求持续进行数据外发。建议立即隔离受影响的主机,以防止攻击者进行进一步的横向移动或未经授权的远程控制。 ## 2. 受影响的基础设施与范围 ### 主机详情 * **受害主机 IP 地址:** `10.2.28.88` * **主机名 / 角色:** 内部企业工作站 * **操作系统环境:** Windows OS ### 影响范围 对网络会话的分析证实,目前的影响**仅限于单一主机**。虽然对多个外部后台连接进行了评估,但在此数据包捕获中,未检测到其他内部资产或横向移动企图。所有未经授权的外联通信都严格限制在受害主机与单个恶意外部端点之间。 ## 3. 技术分析与入侵指标 ### 数据包分析 对 HTTP 流量的深度数据包检测揭示了从标准基线活动到未经授权的 Beaconing 的明显转变。初始流量显示为标准的内部系统检查,紧接着是大量发往未验证外部 IP 地址的 HTTP POST 请求。 外部服务器以标准的 `200 OK` HTTP 状态码响应,确认连接成功。payload 使用非标准的 Web 应用程序 user-agent 字符串发送,这表明该流量是主动的远程访问部署,而不是合法的用户 Web 浏览。 ### 入侵指标 (IOCs) * **网络指标 (C2 IP):** `45.131.214.85` — 接收连接检入的外部恶意服务器地址。 * **网络指标 (URI 路径):** `http://45.131.214.85/fakeurl.htm` — 正在发送数据的具体 Web 路径。 * **主机指标 (User-Agent):** `NetSupport Manager/1.3` — 在受害主机上运行的未经授权的远程访问工具 (RAT) 软件特征。 ### 证据工件 ![Wireshark 流量分析](https://raw.githubusercontent.com/nzubeio/netsupport-rat-analysis/main/screenshots/image_9bae83.jpg) *图 3.1:Wireshark HTTP 流量流,显示了受害主机与外部 C2 服务器之间持久的自动化通信通道。* ## 4. 事件时间线 * **00:00:03 (Packet 87):** **基线活动。** 受害主机(`10.2.28.88`)执行常规网络连接检查(`/connecttest.txt`),建立标准网络连接。 * **00:00:45 (Packet 2638):** **感染触发。** 主机向 C2 服务器(`45.131.214.85/fakeurl.htm`)发起首个恶意的 HTTP POST 请求。 * **00:00:45 - 00:12:17 (Packets 2640–4270):** **活跃 Beaconing。** 发生持续、自动化的 Beaconing 活动,受感染主机使用 `NetSupport Manager/1.3` user-agent 字符串反复向 C2 基础设施进行检入。 ## 5. 建议与修复步骤 1. **网络隔离(立即执行):** 立即将受影响的主机(`10.2.28.88`)从本地网段断开,以防止任何潜在的横向移动或数据外发。 2. **撤销凭证:** 撤销并重置与受感染端点相关的所有用户和管理员凭证。 3. **主机修复:** 对企业工作站执行全面的取证擦除并重置镜像,以确保彻底清除 NetSupport RAT 软件。 4. **C2 黑名单拦截:** 实施边界防火墙规则,丢弃所有发往和来自已知恶意 IP 地址 `45.131.214.85` 的入站和出站流量。
标签:AMSI绕过, DAST, 威胁检测, 库, 应急响应, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本