Kevoo-sys/wireshark-network-forensics

GitHub: Kevoo-sys/wireshark-network-forensics

基于 Wireshark 的网络取证实验,记录了对 NetSupport Manager RAT 感染事件从流量检测到缓解建议的完整调查过程。

Stars: 0 | Forks: 0

# 实验室:网络取证分析 - RAT 检测 (NetSupport Manager) 此仓库记录了使用 Wireshark 通过深度数据包分析 (DPI) 对网络安全事件进行技术调查的过程。 ## 事件摘要 检测到内网中的一台设备存在异常行为,该设备持续向外部服务器发起重复连接。调查证实了存在与未经授权的远程访问工具 (RAT) 相关的流量。 ## 取证发现 - **受害者 IP:** `10.2.28.88`(通过 Endpoints 中高达 14,673 个数据包的庞大流量识别)。 - **攻击者 / C2 服务器 IP:** `45.131.214.85` - **关键妥协指标:**通过 HTTP POST 向 `/fakeurl.htm` 发起的持续连接。 - **特征签名:**通过端口 80 运行的 `NetSupport Manager/1.3`。 - **流分析 (TCP Stream 40):**识别出以明文形式交换的控制命令(`CMD=POLL`、`CMD=ENCD`)和可疑的 payload,证实了攻击者在主机上的持久化。 - ![Wireshark Endpoints](https://static.pigsec.cn/wp-content/uploads/repos/cas/eb/ebf3c0dc93ddd4e61a5571b7ccd1fa89d133089c50563ae388cc344a57b9ee83.png) ![恶意 HTTP 流量](https://static.pigsec.cn/wp-content/uploads/repos/cas/96/96da907085502e6f6b85197212d42ec564f51f73f44ff6850a64e7d98458ddec.png) ![恶意 HTTP 流量](https://static.pigsec.cn/wp-content/uploads/repos/cas/96/96da907085502e6f6b85197212d42ec564f51f73f44ff6850a64e7d98458ddec.png) ![导出的对象](https://static.pigsec.cn/wp-content/uploads/repos/cas/36/36217d01312c1053b0113be33a58d14649cb33bc0327537109cbb7a7e395dff1.png) ## 🛠️ 建议的缓解措施 (Blue Team) 1. **隔离:**立即将主机 `10.2.28.88` 从局域网断开,以防止横向移动。 2. **边界封锁:**在防火墙中创建持久的出口规则,拒绝任何发往 IP `45.131.214.85` 的通信。 3. **修复:**对受影响的主机执行全面的扫描和进程审计,以移除未经授权的 NetSupport 二进制文件。