JB-163/IR-Investigation-Lab
GitHub: JB-163/IR-Investigation-Lab
基于真实恶意软件 PCAP 样本的应急响应实验项目,模拟 SOC 分析师从告警到报告的完整调查流程。
Stars: 0 | Forks: 0
# 基于 PCAP 的恶意软件流量分析与 IR 报告
一个家庭 Incident Response 实验室,使用来自
Malware-Traffic-Analysis.net 的网络 packet capture 进行
真实世界的恶意软件流量调查。每项调查都遵循
结构化的 SOC analyst 工作流程——从初始 SIEM alert 上下文
到 host 识别、IOC 提取、threat intelligence
enrichment、MITRE ATT&CK 映射以及正式的 IR 报告。
## 实验室环境
| 组件 | 详情 |
|-----------|---------|
| 分析工具 | Wireshark |
| Threat Intelligence | VirusTotal, AbuseIPDB |
| 攻击框架 | MITRE ATT&CK Enterprise |
| PCAP 来源 | Malware-Traffic-Analysis.net |
| 操作系统 | Windows 11 |
## 调查
| # | 日期 | 恶意软件家族 | 投递方式 | 发现的 C2 IP |
|---|------|---------------|-----------------|--------------|
| 1 | 2026-02-28 | NetSupport Manager RAT | 直接 C2 通信 | 1 |
| 2 | 2025-01-22 | 未知 — 伪造软件投递 | 域名仿冒钓鱼网站 | 4 |
## 调查 1 — NetSupport Manager RAT
**来源:** 2026-02-28 流量分析练习 — Easy As 123
**摘要:** SIEM 标记了来自通过 TCP port 443 与已知
恶意外部服务器通信的内部 IP 的 NetSupport Manager
RAT 活动的签名命中。调查
确定了受感染的 host、责任用户,并
使用 VirusTotal 确认了 C2 infrastructure。
**关键发现:**
- 受感染 Host:10.2.28.88 (DESKTOP-TEYQ2NR)
- 用户:Becka Rolf (brolf)
- C2 Server:45.131.214[.]85
- 恶意软件:NetSupport Manager RAT
[完整报告](investigation-01/investigation_report.md) |
[IOC 列表](investigation-01/ioc_list.md)
## 调查 2 — 伪造 Google Authenticator 钓鱼活动
**来源:** 2025-01-22 流量分析练习 — 从
伪造软件网站下载
**摘要:** SOC 收到一份报告,一名用户在搜索
Google Authenticator 后下载了
一个可疑文件。
调查追踪了完整的攻击链,从初始钓鱼
诱饵到伪造软件下载,再到跨越 4 个独立 C2 服务器的感染后
C2 通信——表明其具有
fallback channel 行为。
**关键发现:**
- 受感染 Host:10.1.17.215 (DESKTOP-L8C5GSJ)
- 用户:shutchenson
- 钓鱼域名:authenticatoor[.]org (域名仿冒)
- C2 Server:已识别 4 个 IP
- 技术:域名仿冒 + 恶意文件投递
[完整报告](investigation-02/investigation_report.md) |
[IOC 列表](investigation-02/ioc_list.md)
## 使用的工具
| 工具 | 用途 |
|------|---------|
| Wireshark | PCAP 分析、protocol 过滤、stream 跟踪 |
| VirusTotal | IP 和域名信誉、恶意软件供应商检测 |
| MITRE ATT&CK Navigator | TTP 可视化和映射 |
## 展示的技能
- 使用 Wireshark 进行网络 packet capture 分析
- Protocol 级别调查 — DHCP, NTLMSSP, HTTP, DNS, Kerberos
- 受感染 host 识别 — IP, MAC, 主机名, 用户名
- IOC 提取与去敏化
- 使用开源平台进行 threat intelligence enrichment
- 域名仿冒域名识别
- 多阶段攻击链重建
- MITRE ATT&CK TTP 映射
- 撰写正式的 incident response 报告
- 生成用于 operational 使用的 IOC 列表
## 截图
所有调查证据截图均按
调查整理在 [截图](screenshots/) 文件夹中。
标签:威胁情报, 安全, 库, 应急响应, 开发者工具, 数字取证, 网络流量分析, 自动化脚本, 超时处理