vireshj777/Malware-Traffic-Analysis-in-Wireshark

GitHub: vireshj777/Malware-Traffic-Analysis-in-Wireshark

一个 SOC 家庭实验室项目,演示如何使用 Wireshark 和威胁情报工具分析真实 RAT 感染流量、提取 IOC 并映射 MITRE ATT&CK 框架。

Stars: 0 | Forks: 0

# 🦈 恶意软件流量分析 — Wireshark 与 威胁情报 **SOC 家庭实验室项目 3 | Wireshark | MITRE ATT&CK | 威胁情报** ## 📌 项目概述 本项目展示了如何使用 Wireshark 和开源威胁情报工具进行**真实环境下的恶意软件流量调查**。通过分析包含真实 RAT (远程访问木马) 感染流量的 PCAP 文件,旨在识别受感染的主机、提取 IOC、映射至 MITRE ATT&CK,并生成正式的事件报告。 ## 🏗️ 实验环境 | 组件 | 详细信息 | |-----------|---------| | **分析工具** | Wireshark 4.x | | **PCAP 来源** | malware-traffic-analysis.net (2026-02-28 练习) | | **威胁情报** | VirusTotal, AbuseIPDB | | **网络范围** | 10.2.28.0/24 (EASYAS123 域) | | **总数据包数** | 15,512 | | **受感染主机** | 10.2.28.88 (DESKTOP-TEYQ2NR) | ## 🎯 调查目标 作为响应 SIEM 告警的 SOC 分析师,主要目标是: 1. 识别网络中被感染的机器 2. 确认 C2 (命令与控制) 通信 3. 从流量中提取所有 IOC 4. 将攻击者行为映射至 MITRE ATT&CK 5. 生成正式的事件报告 ## 🔍 分析方法论 ### 第 1 步 — C2 流量过滤 ``` Filter: ip.addr == 45.131.214.85 ``` C2 IP (45.131.214.85) 在练习背景中作为已知的 RAT 服务器被提供。过滤此 IP 后立即发现了受感染的主机:**10.2.28.88** **关键发现:** - 受感染主机与 C2 服务器之间交换了 550 个数据包 - 连接于 2026 年 2 月 28 日 **19:55:51 UTC** 发起 - 恶意软件使用 **TCP port 443** (通常为 HTTPS) 进行明文 HTTP 通信 - 每隔精确的 **60 秒**向 `/fakeurl.htm` 发送 POST 请求 ``` ### 步骤 2 — HTTP 请求分析 ``` Filter: http.request **关键发现:** - 恶意软件发送 **POST 请求** (而非 GET) — 这意味着数据被主动发送给攻击者 - Content-Type: `application/x-www-form-urlencoded` — 数据像 Web 表单一样被打包 - Wireshark 标记:*"在加密端口上检测到未加密的 HTTP 协议"* - URL: `http://45.131.214.85/fakeurl.htm` — 可疑 URL,无合法用途 **为什么 POST 很重要:** GET 请求仅用于获取数据。POST 请求用于发送数据。恶意软件正在将受害机器中的信息外泄到攻击者的服务器上。 ``` ### 步骤 3 — DNS 分析 ``` Filter: dns **关键发现:** - 10.2.28.88 发出的所有 DNS 查询均为**合法的 Windows/域流量** - **未发现针对 45.131.214.85 的 DNS 查询** — 恶意软件使用了硬编码的 IP - 这是一种旨在绕过 DNS sinkhole 和威胁情报拦截的蓄意规避技术 - 正常的域查询包括:easyas123-dc.easyas123.tech, msftconnecttest.com **为什么没有 DNS 很重要:** 安全团队通常使用 DNS sinkhole 来拦截恶意域名。通过硬编码 IP 地址,恶意软件完全绕过了这一防御机制。 ``` ### 步骤 4 — Beaconing 模式分析 ``` 检查 C2 连接的时间戳揭示了一个**精确的 60 秒 beacon 间隔:** | 数据包 | 时间戳 | 方向 | |--------|-----------|-----------| | 2638 | 19:55:51 UTC | 主机 → C2 | | 3807 | 19:56:52 UTC | 主机 → C2 | | 4093 | 19:57:52 UTC | 主机 → C2 | | 4134 | 19:58:52 UTC | 主机 → C2 | **这为什么重要:** 人类不可能精确地每隔 60 秒点击一次东西。这种规律性证明了自动化的恶意软件行为 — 一个 RAT 的 keepalive beacon,用于确认受感染的机器仍处于在线状态并等待接收指令。 ``` ## 📋 IOC 列表 ``` | 指标 | 类型 | 描述 | |-----------|------|-------------| | `45.131.214.85` | IP Address | C2 服务器 (RAT) | | `http://45.131.214.85/fakeurl.htm` | URL | RAT beacon 端点 | | `10.2.28.88` | IP Address | 受感染的机器 | | `DESKTOP-TEYQ2NR` | Hostname | 受感染机器的名称 | | `00:19:d1:b2:4d:ad` | MAC Address | 受感染机器的网卡 | | Port 443 + plain HTTP | Behaviour | 协议/端口滥用 | | 60-second POST intervals | Behaviour | C2 beacon 模式 | | `application/x-www-form-urlencoded` | Behaviour | 数据外泄方法 | ``` Full IOC list → [ioc-list.md](ioc-list.md) ``` ``` ## 🗺️ MITRE ATT&CK 映射 ``` | 技术 ID | 技术名称 | 发现的证据 | |---|---|---| | T1071.001 | Application Layer Protocol: Web Protocols | 向 C2 发送 HTTP POST beacon | | T1571 | Non-Standard Port | 通过 port 443 进行 HTTP 流量传输 | | T1029 | Scheduled Transfer | 精确的 60 秒 beacon 间隔 | | T1219 | Remote Access Software | 持久化的 RAT C2 连接 | | T1041 | Exfiltration Over C2 Channel | 通过 POST 请求向攻击者发送数据 | ``` ## 🔑 关键发现摘要 ``` - **受感染主机:** 10.2.28.88 (DESKTOP-TEYQ2NR, MAC: 00:19:d1:b2:4d:ad) - **感染时间:** 2026 年 2 月 28 日 19:55:51 UTC - **攻击类型:** RAT (远程访问木马) 处于活跃的 C2 beacon 状态 - **规避技术:** HTTP over port 443 + 硬编码 IP (无 DNS) - **数据外泄:** 已确认通过向 /fakeurl.htm 发送 POST 请求进行 - **Beacon 间隔:** 每 60 秒一次 (自动化,非人为) - **结论:** 真阳性 (TRUE POSITIVE) — 已确认存在活跃的 RAT 感染 ``` ## 🛠️ 使用的工具 ``` | 工具 | 用途 | |------|---------| | Wireshark | 数据包捕获分析 | | tshark | 命令行数据包分析 | | VirusTotal | IP/hash 信誉查询 | | AbuseIPDB | IP 滥用信誉检查 | | malware-traffic-analysis.net | PCAP 来源与练习 | | MITRE ATT&CK Navigator | 技术映射 | ``` ## 🎯 展示的 SOC Analyst 技能 ``` - ✅ PCAP 分析与显示过滤器的使用 (Wireshark) - ✅ C2 流量识别与 beacon 检测 - ✅ 从网络流量中提取 IOC - ✅ DNS 分析与规避技术识别 - ✅ HTTP 协议分析 (GET 与 POST 的对比,端口滥用) - ✅ 威胁情报丰富化 (VirusTotal, AbuseIPDB) - ✅ MITRE ATT&CK 框架映射 - ✅ 编写正式的事件报告 ``` ## 👩‍💻 作者 ``` **VIRESH J**
标签:Wireshark, 句柄查看, 威胁情报, 安全运营中心(SOC), 开发者工具, 网络安全, 隐私保护