vireshj777/Malware-Traffic-Analysis-Wireshark-Threat-Intelligence

GitHub: vireshj777/Malware-Traffic-Analysis-Wireshark-Threat-Intelligence

基于 Wireshark 和开源威胁情报工具的 SOC 实战项目,演示如何对包含 RAT 感染的 PCAP 流量进行调查、提取 IOC 并生成事件报告。

Stars: 0 | Forks: 0

# 🦈 恶意软件流量分析 — Wireshark 与 威胁情报 **SOC 家庭实验室项目 3 | Wireshark | MITRE ATT&CK | 威胁情报** ## 📌 项目概述 本项目展示了如何使用 Wireshark 和开源威胁情报工具进行**真实环境下的恶意软件流量调查**。通过分析包含实际 RAT (远程访问木马) 感染流量的 PCAP 文件,旨在识别受感染的主机、提取 IOC、映射至 MITRE ATT&CK,并生成正式的事件报告。 ## 🏗️ 实验环境 | 组件 | 详情 | |-----------|---------| | **分析工具** | Wireshark 4.x | | **PCAP 来源** | malware-traffic-analysis.net (2026-02-28 练习) | | **威胁情报** | VirusTotal, AbuseIPDB | | **网络范围** | 10.2.28.0/24 (EASYAS123 域) | | **总数据包数** | 15,512 | | **受感染主机** | 10.2.28.88 (DESKTOP-TEYQ2NR) | ## 🎯 调查目标 作为响应 SIEM 告警的 SOC 分析师,其主要目标是: 1. 识别网络中被感染的机器 2. 确认 C2 (命令与控制) 通信 3. 从流量中提取所有 IOC 4. 将攻击者行为映射至 MITRE ATT&CK 5. 生成正式的事件报告 ## 🔍 分析方法 ### 步骤 1 — C2 流量过滤 ``` Filter: ip.addr == 45.131.214.85 ``` C2 IP (45.131.214.85) 在练习背景中作为已知的 RAT 服务器提供。过滤此 IP 立即揭示了受感染的主机:**10.2.28.88** **关键发现:** - 受感染主机与 C2 服务器之间交换了 550 个数据包 - 连接于 2026 年 2 月 28 日 **19:55:51 UTC** 发起 - 恶意软件使用 **TCP 端口 443** (通常是 HTTPS) 进行明文 HTTP 通信 - 每 **整整 60 秒**向 `/fakeurl.htm` 发送 POST 请求 ``` ### 步骤 2 — HTTP Request Analysis ``` 过滤器:http.request **关键发现:** - 恶意软件发送了 **POST 请求** (而非 GET) — 这意味着数据正被主动发送给攻击者 - Content-Type: `application/x-www-form-urlencoded` — 数据像 Web 表单一样被打包 - Wireshark 标记:*"在加密端口上检测到未加密的 HTTP 协议"* - URL: `http://45.131.214.85/fakeurl.htm` — 可疑 URL,没有合法用途 **为什么 POST 很重要:** GET 请求仅用于检索数据。POST 请求用于发送数据。该恶意软件正在将受害机器上的信息外泄到攻击者的服务器。 ``` ### 步骤 3 — DNS Analysis ``` 过滤器:dns **关键发现:** - 来自 10.2.28.88 的所有 DNS 查询都是 **合法的 Windows/域流量** - **未发现针对 45.131.214.85 的 DNS 查询** — 恶意软件使用了硬编码 IP - 这是一种蓄意的规避技术,旨在绕过 DNS Sinkhole 和威胁情报拦截 - 正常的域查询:easyas123-dc.easyas123.tech, msftconnecttest.com **为什么没有 DNS 很重要:** 安全团队通常使用 DNS Sinkhole 来拦截恶意域名。通过硬编码 IP 地址,恶意软件完全绕过了这一防御。 ``` ### 步骤 4 — Beaconing Pattern Analysis ``` 检查 C2 连接的时间戳揭示了**精确的 60 秒 Beacon (心跳) 间隔:** | 数据包 | 时间戳 | 方向 | |--------|-----------|-----------| | 2638 | 19:55:51 UTC | 主机 → C2 | | 3807 | 19:56:52 UTC | 主机 → C2 | | 4093 | 19:57:52 UTC | 主机 → C2 | | 4134 | 19:58:52 UTC | 主机 → C2 | **为什么这很重要:** 人类不可能精确地每隔 60 秒点击一次东西。这种规律性证明了自动化的恶意软件行为——这是一个 RAT 的 Keepalive Beacon (保活心跳),用于确认受感染的机器仍处于在线状态并等待指令。 ``` ## 📋 IOC 列表 ``` | 指标 | 类型 | 描述 | |-----------|------|-------------| | `45.131.214.85` | IP 地址 | C2 服务器 (RAT) | | `http://45.131.214.85/fakeurl.htm` | URL | RAT Beacon 端点 | | `10.2.28.88` | IP 地址 | 受感染的机器 | | `DESKTOP-TEYQ2NR` | 主机名 | 受感染的机器名称 | | `00:19:d1:b2:4d:ad` | MAC 地址 | 受感染机器的网卡 | | 端口 443 + 明文 HTTP | 行为 | 协议/端口滥用 | | 60 秒的 POST 间隔 | 行为 | C2 Beacon 模式 | | `application/x-www-form-urlencoded` | 行为 | 数据外泄方法 | ``` Full IOC list → [ioc-list.md](ioc-list.md) ``` ``` ## 🗺️ MITRE ATT&CK Mapping ``` | 技术 ID | 技术名称 | 发现的证据 | |---|---|---| | T1071.001 | 应用层协议:Web 协议 | 向 C2 发送 HTTP POST Beacon | | T1571 | 非标准端口 | 端口 443 上的 HTTP 流量 | | T1029 | 计划传输 | 精确的 60 秒 Beacon 间隔 | | T1219 | 远程访问软件 | 持续的 RAT C2 连接 | | T1041 | 通过 C2 通道外泄 | 发送数据给攻击者的 POST 请求 | ``` ## 🔑 关键发现摘要 ``` - **受感染主机:** 10.2.28.88 (DESKTOP-TEYQ2NR, MAC: 00:19:d1:b2:4d:ad) - **感染时间:** 2026 年 2 月 28 日 19:55:51 UTC - **攻击类型:** RAT (远程访问木马) 并伴有活跃的 C2 Beacon - **规避技术:** 端口 443 上的 HTTP + 硬编码 IP (无 DNS) - **数据外泄:** 已通过向 /fakeurl.htm 发送 POST 请求确认 - **Beacon 间隔:** 每 60 秒一次 (自动化,非人工) - **结论:** 真阳性 — 已确认存在活跃的 RAT 感染 ``` ## 🛠️ 使用的工具 ``` | 工具 | 用途 | |------|---------| | Wireshark | 数据包捕获分析 | | tshark | 命令行数据包分析 | | VirusTotal | IP/哈希信誉查询 | | AbuseIPDB | IP 滥用信誉检查 | | malware-traffic-analysis.net | PCAP 来源和练习 | | MITRE ATT&CK Navigator | 技术映射 | ``` ## 🎯 展示的 SOC Analyst 技能 ``` - ✅ PCAP 分析和显示过滤器使用 (Wireshark) - ✅ C2 流量识别和 Beacon 检测 - ✅ 从网络流量中提取 IOC - ✅ DNS 分析和规避技术识别 - ✅ HTTP 协议分析 (GET 与 POST,端口滥用) - ✅ 威胁情报丰富 (VirusTotal, AbuseIPDB) - ✅ MITRE ATT&CK 框架映射 - ✅ 撰写正式的事件报告 ``` ## 👩‍💻 作者 ``` **VIRESH J** — 有志成为 SOC 分析师 自学网络安全 | 专注蓝队 | 位于印度
标签:Cloudflare, IP 地址批量处理, MITRE ATT&CK, Wireshark, 句柄查看, 威胁情报, 安全, 库, 应急响应, 开发者工具, 网络信息收集, 超时处理