waniaazam000-cpu/MALWARE-TRAFIC-ANALYSIS-WITH-WIRESHARK

GitHub: waniaazam000-cpu/MALWARE-TRAFIC-ANALYSIS-WITH-WIRESHARK

使用 Wireshark 对 Lumma Stealer 恶意软件的真实 pcap 文件进行网络流量取证分析,还原受感染主机信息并撰写 SOC 事件报告。

Stars: 0 | Forks: 0

# 使用 Wireshark 进行恶意软件流量分析 ## 项目概述 使用 Wireshark 分析了包含 **Lumma Stealer** 恶意软件流量的真实数据包捕获 文件。该 pcap 文件作为 SOC 分析师练习的一部分,下载自 [malware-traffic-analysis.net](https://malware-traffic-analysis.net)。 ## 使用的工具 - **Wireshark** — 数据包捕获分析 - **malware-traffic-analysis.net** — pcap 来源 ## 我的工作 - 在 Wireshark 中分析了 DNS、TCP、HTTP 和 TLS 流量 - 使用 Wireshark 过滤器识别受感染的主机 - 调查 Kerberos 身份验证数据包以查找 Windows 用户名 - 通过 TLS SNI 字段识别了 Lumma Stealer C2 域名 - 根据调查结果撰写了完整的 SOC 事件报告 ## 使用的关键 Wireshark 过滤器 | 过滤器 | 用途 | |--------|---------| | `ip.addr eq 153.92.1.49` | 查找受感染主机的流量 | | `nbns` | 查找主机名和 MAC 地址 | | `kerberos.CNameString` | 查找 Windows 用户名 | | `http` | 查找发往恶意域名的 HTTP 流量 | ## 调查结果 | 字段 | 值 | |-------|-------| | IP 地址 | 10.1.21.58 | | MAC 地址 | 00:21:5d:c8:0e:f2 | | 主机名 | DESKTOP-ES9F3ML | | Windows 用户名 | gwyatt | | 全名 | Gabriel Wyatt | | Lumma Stealer 域名 | whitepepper.su | ## 其他可疑域名 在 Lumma Stealer 流量之后,观察到了两个后续的恶意软件域名: - `holiday-forever.cc` - `communicationfirewall-security.cc` ## 展示的技能 - 网络流量分析 - 恶意软件识别 - SOC 事件报告 - Wireshark 过滤技术 - PCAP 取证
标签:DAST, HTTP工具, IP 地址批量处理, Wireshark, 句柄查看, 安全运营中心(SOC), 库, 应急响应, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本