vireshj777/Malware-Traffic-Analysis-in-Wireshark
GitHub: vireshj777/Malware-Traffic-Analysis-in-Wireshark
一个 SOC 家庭实验室项目,演示如何使用 Wireshark 和威胁情报工具分析真实 RAT 感染流量、提取 IOC 并映射 MITRE ATT&CK 框架。
Stars: 0 | Forks: 0
# 🦈 恶意软件流量分析 — Wireshark 与 威胁情报
**SOC 家庭实验室项目 3 | Wireshark | MITRE ATT&CK | 威胁情报**
## 📌 项目概述
本项目展示了如何使用 Wireshark 和开源威胁情报工具进行**真实环境下的恶意软件流量调查**。通过分析包含真实 RAT (远程访问木马) 感染流量的 PCAP 文件,旨在识别受感染的主机、提取 IOC、映射至 MITRE ATT&CK,并生成正式的事件报告。
## 🏗️ 实验环境
| 组件 | 详细信息 |
|-----------|---------|
| **分析工具** | Wireshark 4.x |
| **PCAP 来源** | malware-traffic-analysis.net (2026-02-28 练习) |
| **威胁情报** | VirusTotal, AbuseIPDB |
| **网络范围** | 10.2.28.0/24 (EASYAS123 域) |
| **总数据包数** | 15,512 |
| **受感染主机** | 10.2.28.88 (DESKTOP-TEYQ2NR) |
## 🎯 调查目标
作为响应 SIEM 告警的 SOC 分析师,主要目标是:
1. 识别网络中被感染的机器
2. 确认 C2 (命令与控制) 通信
3. 从流量中提取所有 IOC
4. 将攻击者行为映射至 MITRE ATT&CK
5. 生成正式的事件报告
## 🔍 分析方法论
### 第 1 步 — C2 流量过滤
```
Filter: ip.addr == 45.131.214.85
```
C2 IP (45.131.214.85) 在练习背景中作为已知的 RAT 服务器被提供。过滤此 IP 后立即发现了受感染的主机:**10.2.28.88**
**关键发现:**
- 受感染主机与 C2 服务器之间交换了 550 个数据包
- 连接于 2026 年 2 月 28 日 **19:55:51 UTC** 发起
- 恶意软件使用 **TCP port 443** (通常为 HTTPS) 进行明文 HTTP 通信
- 每隔精确的 **60 秒**向 `/fakeurl.htm` 发送 POST 请求
```
### 步骤 2 — HTTP 请求分析
```
Filter: http.request
**关键发现:**
- 恶意软件发送 **POST 请求** (而非 GET) — 这意味着数据被主动发送给攻击者
- Content-Type: `application/x-www-form-urlencoded` — 数据像 Web 表单一样被打包
- Wireshark 标记:*"在加密端口上检测到未加密的 HTTP 协议"*
- URL: `http://45.131.214.85/fakeurl.htm` — 可疑 URL,无合法用途
**为什么 POST 很重要:** GET 请求仅用于获取数据。POST 请求用于发送数据。恶意软件正在将受害机器中的信息外泄到攻击者的服务器上。
```
### 步骤 3 — DNS 分析
```
Filter: dns
**关键发现:**
- 10.2.28.88 发出的所有 DNS 查询均为**合法的 Windows/域流量**
- **未发现针对 45.131.214.85 的 DNS 查询** — 恶意软件使用了硬编码的 IP
- 这是一种旨在绕过 DNS sinkhole 和威胁情报拦截的蓄意规避技术
- 正常的域查询包括:easyas123-dc.easyas123.tech, msftconnecttest.com
**为什么没有 DNS 很重要:** 安全团队通常使用 DNS sinkhole 来拦截恶意域名。通过硬编码 IP 地址,恶意软件完全绕过了这一防御机制。
```
### 步骤 4 — Beaconing 模式分析
```
检查 C2 连接的时间戳揭示了一个**精确的 60 秒 beacon 间隔:**
| 数据包 | 时间戳 | 方向 |
|--------|-----------|-----------|
| 2638 | 19:55:51 UTC | 主机 → C2 |
| 3807 | 19:56:52 UTC | 主机 → C2 |
| 4093 | 19:57:52 UTC | 主机 → C2 |
| 4134 | 19:58:52 UTC | 主机 → C2 |
**这为什么重要:** 人类不可能精确地每隔 60 秒点击一次东西。这种规律性证明了自动化的恶意软件行为 — 一个 RAT 的 keepalive beacon,用于确认受感染的机器仍处于在线状态并等待接收指令。
```
## 📋 IOC 列表
```
| 指标 | 类型 | 描述 |
|-----------|------|-------------|
| `45.131.214.85` | IP Address | C2 服务器 (RAT) |
| `http://45.131.214.85/fakeurl.htm` | URL | RAT beacon 端点 |
| `10.2.28.88` | IP Address | 受感染的机器 |
| `DESKTOP-TEYQ2NR` | Hostname | 受感染机器的名称 |
| `00:19:d1:b2:4d:ad` | MAC Address | 受感染机器的网卡 |
| Port 443 + plain HTTP | Behaviour | 协议/端口滥用 |
| 60-second POST intervals | Behaviour | C2 beacon 模式 |
| `application/x-www-form-urlencoded` | Behaviour | 数据外泄方法 |
```
Full IOC list → [ioc-list.md](ioc-list.md)
```
```
## 🗺️ MITRE ATT&CK 映射
```
| 技术 ID | 技术名称 | 发现的证据 |
|---|---|---|
| T1071.001 | Application Layer Protocol: Web Protocols | 向 C2 发送 HTTP POST beacon |
| T1571 | Non-Standard Port | 通过 port 443 进行 HTTP 流量传输 |
| T1029 | Scheduled Transfer | 精确的 60 秒 beacon 间隔 |
| T1219 | Remote Access Software | 持久化的 RAT C2 连接 |
| T1041 | Exfiltration Over C2 Channel | 通过 POST 请求向攻击者发送数据 |
```
## 🔑 关键发现摘要
```
- **受感染主机:** 10.2.28.88 (DESKTOP-TEYQ2NR, MAC: 00:19:d1:b2:4d:ad)
- **感染时间:** 2026 年 2 月 28 日 19:55:51 UTC
- **攻击类型:** RAT (远程访问木马) 处于活跃的 C2 beacon 状态
- **规避技术:** HTTP over port 443 + 硬编码 IP (无 DNS)
- **数据外泄:** 已确认通过向 /fakeurl.htm 发送 POST 请求进行
- **Beacon 间隔:** 每 60 秒一次 (自动化,非人为)
- **结论:** 真阳性 (TRUE POSITIVE) — 已确认存在活跃的 RAT 感染
```
## 🛠️ 使用的工具
```
| 工具 | 用途 |
|------|---------|
| Wireshark | 数据包捕获分析 |
| tshark | 命令行数据包分析 |
| VirusTotal | IP/hash 信誉查询 |
| AbuseIPDB | IP 滥用信誉检查 |
| malware-traffic-analysis.net | PCAP 来源与练习 |
| MITRE ATT&CK Navigator | 技术映射 |
```
## 🎯 展示的 SOC Analyst 技能
```
- ✅ PCAP 分析与显示过滤器的使用 (Wireshark)
- ✅ C2 流量识别与 beacon 检测
- ✅ 从网络流量中提取 IOC
- ✅ DNS 分析与规避技术识别
- ✅ HTTP 协议分析 (GET 与 POST 的对比,端口滥用)
- ✅ 威胁情报丰富化 (VirusTotal, AbuseIPDB)
- ✅ MITRE ATT&CK 框架映射
- ✅ 编写正式的事件报告
```
## 👩💻 作者
```
**VIRESH J**
标签:Wireshark, 句柄查看, 威胁情报, 安全运营中心(SOC), 开发者工具, 网络安全, 隐私保护