Kevoo-sys/wireshark-network-forensics
GitHub: Kevoo-sys/wireshark-network-forensics
基于 Wireshark 的网络取证实验,记录了对 NetSupport Manager RAT 感染事件从流量检测到缓解建议的完整调查过程。
Stars: 0 | Forks: 0
# 实验室:网络取证分析 - RAT 检测 (NetSupport Manager)
此仓库记录了使用 Wireshark 通过深度数据包分析 (DPI) 对网络安全事件进行技术调查的过程。
## 事件摘要
检测到内网中的一台设备存在异常行为,该设备持续向外部服务器发起重复连接。调查证实了存在与未经授权的远程访问工具 (RAT) 相关的流量。
## 取证发现
- **受害者 IP:** `10.2.28.88`(通过 Endpoints 中高达 14,673 个数据包的庞大流量识别)。
- **攻击者 / C2 服务器 IP:** `45.131.214.85`
- **关键妥协指标:**通过 HTTP POST 向 `/fakeurl.htm` 发起的持续连接。
- **特征签名:**通过端口 80 运行的 `NetSupport Manager/1.3`。
- **流分析 (TCP Stream 40):**识别出以明文形式交换的控制命令(`CMD=POLL`、`CMD=ENCD`)和可疑的 payload,证实了攻击者在主机上的持久化。
- 



## 🛠️ 建议的缓解措施 (Blue Team)
1. **隔离:**立即将主机 `10.2.28.88` 从局域网断开,以防止横向移动。
2. **边界封锁:**在防火墙中创建持久的出口规则,拒绝任何发往 IP `45.131.214.85` 的通信。
3. **修复:**对受影响的主机执行全面的扫描和进程审计,以移除未经授权的 NetSupport 二进制文件。