vireshj777/Malware-Traffic-Analysis-Wireshark-Threat-Intelligence
GitHub: vireshj777/Malware-Traffic-Analysis-Wireshark-Threat-Intelligence
基于 Wireshark 和开源威胁情报工具的 SOC 实战项目,演示如何对包含 RAT 感染的 PCAP 流量进行调查、提取 IOC 并生成事件报告。
Stars: 0 | Forks: 0
# 🦈 恶意软件流量分析 — Wireshark 与 威胁情报
**SOC 家庭实验室项目 3 | Wireshark | MITRE ATT&CK | 威胁情报**
## 📌 项目概述
本项目展示了如何使用 Wireshark 和开源威胁情报工具进行**真实环境下的恶意软件流量调查**。通过分析包含实际 RAT (远程访问木马) 感染流量的 PCAP 文件,旨在识别受感染的主机、提取 IOC、映射至 MITRE ATT&CK,并生成正式的事件报告。
## 🏗️ 实验环境
| 组件 | 详情 |
|-----------|---------|
| **分析工具** | Wireshark 4.x |
| **PCAP 来源** | malware-traffic-analysis.net (2026-02-28 练习) |
| **威胁情报** | VirusTotal, AbuseIPDB |
| **网络范围** | 10.2.28.0/24 (EASYAS123 域) |
| **总数据包数** | 15,512 |
| **受感染主机** | 10.2.28.88 (DESKTOP-TEYQ2NR) |
## 🎯 调查目标
作为响应 SIEM 告警的 SOC 分析师,其主要目标是:
1. 识别网络中被感染的机器
2. 确认 C2 (命令与控制) 通信
3. 从流量中提取所有 IOC
4. 将攻击者行为映射至 MITRE ATT&CK
5. 生成正式的事件报告
## 🔍 分析方法
### 步骤 1 — C2 流量过滤
```
Filter: ip.addr == 45.131.214.85
```
C2 IP (45.131.214.85) 在练习背景中作为已知的 RAT 服务器提供。过滤此 IP 立即揭示了受感染的主机:**10.2.28.88**
**关键发现:**
- 受感染主机与 C2 服务器之间交换了 550 个数据包
- 连接于 2026 年 2 月 28 日 **19:55:51 UTC** 发起
- 恶意软件使用 **TCP 端口 443** (通常是 HTTPS) 进行明文 HTTP 通信
- 每 **整整 60 秒**向 `/fakeurl.htm` 发送 POST 请求
```
### 步骤 2 — HTTP Request Analysis
```
过滤器:http.request
**关键发现:**
- 恶意软件发送了 **POST 请求** (而非 GET) — 这意味着数据正被主动发送给攻击者
- Content-Type: `application/x-www-form-urlencoded` — 数据像 Web 表单一样被打包
- Wireshark 标记:*"在加密端口上检测到未加密的 HTTP 协议"*
- URL: `http://45.131.214.85/fakeurl.htm` — 可疑 URL,没有合法用途
**为什么 POST 很重要:** GET 请求仅用于检索数据。POST 请求用于发送数据。该恶意软件正在将受害机器上的信息外泄到攻击者的服务器。
```
### 步骤 3 — DNS Analysis
```
过滤器:dns
**关键发现:**
- 来自 10.2.28.88 的所有 DNS 查询都是 **合法的 Windows/域流量**
- **未发现针对 45.131.214.85 的 DNS 查询** — 恶意软件使用了硬编码 IP
- 这是一种蓄意的规避技术,旨在绕过 DNS Sinkhole 和威胁情报拦截
- 正常的域查询:easyas123-dc.easyas123.tech, msftconnecttest.com
**为什么没有 DNS 很重要:** 安全团队通常使用 DNS Sinkhole 来拦截恶意域名。通过硬编码 IP 地址,恶意软件完全绕过了这一防御。
```
### 步骤 4 — Beaconing Pattern Analysis
```
检查 C2 连接的时间戳揭示了**精确的 60 秒 Beacon (心跳) 间隔:**
| 数据包 | 时间戳 | 方向 |
|--------|-----------|-----------|
| 2638 | 19:55:51 UTC | 主机 → C2 |
| 3807 | 19:56:52 UTC | 主机 → C2 |
| 4093 | 19:57:52 UTC | 主机 → C2 |
| 4134 | 19:58:52 UTC | 主机 → C2 |
**为什么这很重要:** 人类不可能精确地每隔 60 秒点击一次东西。这种规律性证明了自动化的恶意软件行为——这是一个 RAT 的 Keepalive Beacon (保活心跳),用于确认受感染的机器仍处于在线状态并等待指令。
```
## 📋 IOC 列表
```
| 指标 | 类型 | 描述 |
|-----------|------|-------------|
| `45.131.214.85` | IP 地址 | C2 服务器 (RAT) |
| `http://45.131.214.85/fakeurl.htm` | URL | RAT Beacon 端点 |
| `10.2.28.88` | IP 地址 | 受感染的机器 |
| `DESKTOP-TEYQ2NR` | 主机名 | 受感染的机器名称 |
| `00:19:d1:b2:4d:ad` | MAC 地址 | 受感染机器的网卡 |
| 端口 443 + 明文 HTTP | 行为 | 协议/端口滥用 |
| 60 秒的 POST 间隔 | 行为 | C2 Beacon 模式 |
| `application/x-www-form-urlencoded` | 行为 | 数据外泄方法 |
```
Full IOC list → [ioc-list.md](ioc-list.md)
```
```
## 🗺️ MITRE ATT&CK Mapping
```
| 技术 ID | 技术名称 | 发现的证据 |
|---|---|---|
| T1071.001 | 应用层协议:Web 协议 | 向 C2 发送 HTTP POST Beacon |
| T1571 | 非标准端口 | 端口 443 上的 HTTP 流量 |
| T1029 | 计划传输 | 精确的 60 秒 Beacon 间隔 |
| T1219 | 远程访问软件 | 持续的 RAT C2 连接 |
| T1041 | 通过 C2 通道外泄 | 发送数据给攻击者的 POST 请求 |
```
## 🔑 关键发现摘要
```
- **受感染主机:** 10.2.28.88 (DESKTOP-TEYQ2NR, MAC: 00:19:d1:b2:4d:ad)
- **感染时间:** 2026 年 2 月 28 日 19:55:51 UTC
- **攻击类型:** RAT (远程访问木马) 并伴有活跃的 C2 Beacon
- **规避技术:** 端口 443 上的 HTTP + 硬编码 IP (无 DNS)
- **数据外泄:** 已通过向 /fakeurl.htm 发送 POST 请求确认
- **Beacon 间隔:** 每 60 秒一次 (自动化,非人工)
- **结论:** 真阳性 — 已确认存在活跃的 RAT 感染
```
## 🛠️ 使用的工具
```
| 工具 | 用途 |
|------|---------|
| Wireshark | 数据包捕获分析 |
| tshark | 命令行数据包分析 |
| VirusTotal | IP/哈希信誉查询 |
| AbuseIPDB | IP 滥用信誉检查 |
| malware-traffic-analysis.net | PCAP 来源和练习 |
| MITRE ATT&CK Navigator | 技术映射 |
```
## 🎯 展示的 SOC Analyst 技能
```
- ✅ PCAP 分析和显示过滤器使用 (Wireshark)
- ✅ C2 流量识别和 Beacon 检测
- ✅ 从网络流量中提取 IOC
- ✅ DNS 分析和规避技术识别
- ✅ HTTP 协议分析 (GET 与 POST,端口滥用)
- ✅ 威胁情报丰富 (VirusTotal, AbuseIPDB)
- ✅ MITRE ATT&CK 框架映射
- ✅ 撰写正式的事件报告
```
## 👩💻 作者
```
**VIRESH J** — 有志成为 SOC 分析师
自学网络安全 | 专注蓝队 | 位于印度
标签:Cloudflare, IP 地址批量处理, MITRE ATT&CK, Wireshark, 句柄查看, 威胁情报, 安全, 库, 应急响应, 开发者工具, 网络信息收集, 超时处理