waniaazam000-cpu/MALWARE-TRAFIC-ANALYSIS-WITH-WIRESHARK
GitHub: waniaazam000-cpu/MALWARE-TRAFIC-ANALYSIS-WITH-WIRESHARK
使用 Wireshark 对 Lumma Stealer 恶意软件的真实 pcap 文件进行网络流量取证分析,还原受感染主机信息并撰写 SOC 事件报告。
Stars: 0 | Forks: 0
# 使用 Wireshark 进行恶意软件流量分析
## 项目概述
使用 Wireshark 分析了包含 **Lumma Stealer** 恶意软件流量的真实数据包捕获 文件。该 pcap 文件作为 SOC 分析师练习的一部分,下载自 [malware-traffic-analysis.net](https://malware-traffic-analysis.net)。
## 使用的工具
- **Wireshark** — 数据包捕获分析
- **malware-traffic-analysis.net** — pcap 来源
## 我的工作
- 在 Wireshark 中分析了 DNS、TCP、HTTP 和 TLS 流量
- 使用 Wireshark 过滤器识别受感染的主机
- 调查 Kerberos 身份验证数据包以查找 Windows 用户名
- 通过 TLS SNI 字段识别了 Lumma Stealer C2 域名
- 根据调查结果撰写了完整的 SOC 事件报告
## 使用的关键 Wireshark 过滤器
| 过滤器 | 用途 |
|--------|---------|
| `ip.addr eq 153.92.1.49` | 查找受感染主机的流量 |
| `nbns` | 查找主机名和 MAC 地址 |
| `kerberos.CNameString` | 查找 Windows 用户名 |
| `http` | 查找发往恶意域名的 HTTP 流量 |
## 调查结果
| 字段 | 值 |
|-------|-------|
| IP 地址 | 10.1.21.58 |
| MAC 地址 | 00:21:5d:c8:0e:f2 |
| 主机名 | DESKTOP-ES9F3ML |
| Windows 用户名 | gwyatt |
| 全名 | Gabriel Wyatt |
| Lumma Stealer 域名 | whitepepper.su |
## 其他可疑域名
在 Lumma Stealer 流量之后,观察到了两个后续的恶意软件域名:
- `holiday-forever.cc`
- `communicationfirewall-security.cc`
## 展示的技能
- 网络流量分析
- 恶意软件识别
- SOC 事件报告
- Wireshark 过滤技术
- PCAP 取证
标签:DAST, HTTP工具, IP 地址批量处理, Wireshark, 句柄查看, 安全运营中心(SOC), 库, 应急响应, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本