JB-163/IR-Investigation-Lab

GitHub: JB-163/IR-Investigation-Lab

基于真实恶意软件 PCAP 样本的应急响应实验项目,模拟 SOC 分析师从告警到报告的完整调查流程。

Stars: 0 | Forks: 0

# 基于 PCAP 的恶意软件流量分析与 IR 报告 一个家庭 Incident Response 实验室,使用来自 Malware-Traffic-Analysis.net 的网络 packet capture 进行 真实世界的恶意软件流量调查。每项调查都遵循 结构化的 SOC analyst 工作流程——从初始 SIEM alert 上下文 到 host 识别、IOC 提取、threat intelligence enrichment、MITRE ATT&CK 映射以及正式的 IR 报告。 ## 实验室环境 | 组件 | 详情 | |-----------|---------| | 分析工具 | Wireshark | | Threat Intelligence | VirusTotal, AbuseIPDB | | 攻击框架 | MITRE ATT&CK Enterprise | | PCAP 来源 | Malware-Traffic-Analysis.net | | 操作系统 | Windows 11 | ## 调查 | # | 日期 | 恶意软件家族 | 投递方式 | 发现的 C2 IP | |---|------|---------------|-----------------|--------------| | 1 | 2026-02-28 | NetSupport Manager RAT | 直接 C2 通信 | 1 | | 2 | 2025-01-22 | 未知 — 伪造软件投递 | 域名仿冒钓鱼网站 | 4 | ## 调查 1 — NetSupport Manager RAT **来源:** 2026-02-28 流量分析练习 — Easy As 123 **摘要:** SIEM 标记了来自通过 TCP port 443 与已知 恶意外部服务器通信的内部 IP 的 NetSupport Manager RAT 活动的签名命中。调查 确定了受感染的 host、责任用户,并 使用 VirusTotal 确认了 C2 infrastructure。 **关键发现:** - 受感染 Host:10.2.28.88 (DESKTOP-TEYQ2NR) - 用户:Becka Rolf (brolf) - C2 Server:45.131.214[.]85 - 恶意软件:NetSupport Manager RAT [完整报告](investigation-01/investigation_report.md) | [IOC 列表](investigation-01/ioc_list.md) ## 调查 2 — 伪造 Google Authenticator 钓鱼活动 **来源:** 2025-01-22 流量分析练习 — 从 伪造软件网站下载 **摘要:** SOC 收到一份报告,一名用户在搜索 Google Authenticator 后下载了 一个可疑文件。 调查追踪了完整的攻击链,从初始钓鱼 诱饵到伪造软件下载,再到跨越 4 个独立 C2 服务器的感染后 C2 通信——表明其具有 fallback channel 行为。 **关键发现:** - 受感染 Host:10.1.17.215 (DESKTOP-L8C5GSJ) - 用户:shutchenson - 钓鱼域名:authenticatoor[.]org (域名仿冒) - C2 Server:已识别 4 个 IP - 技术:域名仿冒 + 恶意文件投递 [完整报告](investigation-02/investigation_report.md) | [IOC 列表](investigation-02/ioc_list.md) ## 使用的工具 | 工具 | 用途 | |------|---------| | Wireshark | PCAP 分析、protocol 过滤、stream 跟踪 | | VirusTotal | IP 和域名信誉、恶意软件供应商检测 | | MITRE ATT&CK Navigator | TTP 可视化和映射 | ## 展示的技能 - 使用 Wireshark 进行网络 packet capture 分析 - Protocol 级别调查 — DHCP, NTLMSSP, HTTP, DNS, Kerberos - 受感染 host 识别 — IP, MAC, 主机名, 用户名 - IOC 提取与去敏化 - 使用开源平台进行 threat intelligence enrichment - 域名仿冒域名识别 - 多阶段攻击链重建 - MITRE ATT&CK TTP 映射 - 撰写正式的 incident response 报告 - 生成用于 operational 使用的 IOC 列表 ## 截图 所有调查证据截图均按 调查整理在 [截图](screenshots/) 文件夹中。
标签:威胁情报, 安全, 库, 应急响应, 开发者工具, 数字取证, 网络流量分析, 自动化脚本, 超时处理