TyrelleKJ/Wireshark-Malware-Incident-Response-Investigation
GitHub: TyrelleKJ/Wireshark-Malware-Incident-Response-Investigation
该项目展示了如何使用 Wireshark 对恶意软件感染事件进行网络流量取证分析,追踪数据外发路径并提取入侵指标。
Stars: 0 | Forks: 0
# Wireshark 恶意软件应急响应调查
**项目概述**
本项目展示了如何使用 Wireshark 调查疑似恶意软件感染。目标是分析网络流量,识别入侵指标,重构恶意邮件通信,并确定从受害者系统中窃取了哪些信息。
调查重点分析了恶意软件生成的 SMTP 流量,这些恶意软件在将数据传输到外部电子邮件账户之前,收集了系统信息和用户凭证。
**调查场景**
从受感染的工作站中发现了一封可疑电子邮件。通过进行网络流量分析来确定:
1. 恶意软件收集了哪些信息
2. 窃取的数据被传输到了哪里
3. 哪些凭证遭到了泄露
4. 能够协助应急响应的指标
**使用的工具**
- Wireshark | 网络流量分析和数据包检查
- TCP Stream 分析 | 重构邮件通信
- SMTP 过滤 | 识别可疑的邮件流量
- Base 64 解码 | 恢复编码的认证数据
1. **调查过程**
**识别可疑的 SMTP 流量**
**目标**
识别恶意软件生成的电子邮件流量,并定位包含窃取信息的通信:
应用 SMTP 过滤器并检查数据包,识别出可疑的出站电子邮件通信。
**发现:**
恶意软件通过 SMTP 邮件流量传输了收集到的信息
2. **提取系统信息**
**目标**
确定恶意软件从受害者机器中收集了哪些信息
**过程**
选中 SMTP 数据包并追踪 TCP stream,以重构邮件内容。
**发现:**
恶意软件收集了以下系统信息:
硬件名称 | Briana's PC
Windows 用户名 | admin@windows10users.com
CPU | Intel(R)Core(TM) i5-13600K
内存 (RAM) | 32 GB
**证据**
3. **识别数据外发**
**目标**
确定窃取的信息被发送到了何处。
**邮件分析**
重构后的邮件包含以下 SMTP 信息:
发件人:marketing@transgear.in
收件人:zarikt@arhitektondizajn.com
**分析**
外部收件人电子邮件地址被识别为潜在的入侵指标,因为敏感信息被传输到了受害者环境之外。
**证据**
4. **凭证窃取调查**
**目标**
识别恶意软件收集的认证信息。
**发现**
恶意软件截获了:
- 用户名
- 密码
这表明该恶意软件具有信息窃取工具的功能。
**Amazon 账户泄露**
被窃取的邮件中包含了 Amazon 的登录凭证。
**账户**
Amazon: Amazon
用户名:admin@windows11users.com
密码(已编码):3Fo76#PTf4P$Im!9mkL5069e=
App. 数据:Thunderbird
5. **SMTP 认证分析**
**目标**
分析认证尝试,以识别攻击者控制的邮件服务器所使用的凭证。
**过程**
SMTP 认证数据包中包含了 Base64 编码的凭证。
执行的步骤:
1. 定位 SMTP 认证数据包。
2. 展开数据包详细信息。
3. 识别 Base64 编码值。
4. 启用 Wireshark 解码。
`Protocol Preferences < Decode Base64 Auth Parameters`
5. 查看解码后的凭证
解码后的认证凭证
服务 | webhostbox.net
用户名 | marketing@transgear.in
密码 | M@sswØrd#621
**证据**
**入侵指标**
受害者 IP | 192.168.1.27
受害者 MAC | bc:ea:fa:22:74:fb
计算机名 | BRIANA's-PC
用户名 | admin@windows10users.com
SMTP 发件人 | marketing@transgear.in
SMTP 收件人 | zaritkt@arhitektondizajn.com
CPU | Intel(R) Core(TM) i5-13600K
内存 (RAM) | 32 GB
**展示的技能**
- Wireshark 数据包分析
- SMTP 流量调查
- TCP stream 重构
- 恶意软件行为分析
- 凭证发现
- IOC 识别
- 应急响应文档编写
- 网络取证
**关键发现**
- 恶意软件收集了系统侦察信息
- 受害者的凭证被窃取
- 敏感信息通过 SMTP 进行传输
- 使用外部电子邮件通信进行数据外发
- 成功恢复了 Base64 编码的认证凭证
**经验教训**
本项目通过分析数据包捕获和识别恶意行为,提升了我调查可疑网络活动的能力。这次调查进一步印证了在应急响应过程中,监控邮件流量、检测异常出站通信以及记录取证证据的重要性。
**发现:**
恶意软件通过 SMTP 邮件流量传输了收集到的信息
2. **提取系统信息**
**目标**
确定恶意软件从受害者机器中收集了哪些信息
**过程**
选中 SMTP 数据包并追踪 TCP stream,以重构邮件内容。
**发现:**
恶意软件收集了以下系统信息:
硬件名称 | Briana's PC
Windows 用户名 | admin@windows10users.com
CPU | Intel(R)Core(TM) i5-13600K
内存 (RAM) | 32 GB
**证据**
3. **识别数据外发**
**目标**
确定窃取的信息被发送到了何处。
**邮件分析**
重构后的邮件包含以下 SMTP 信息:
发件人:marketing@transgear.in
收件人:zarikt@arhitektondizajn.com
**分析**
外部收件人电子邮件地址被识别为潜在的入侵指标,因为敏感信息被传输到了受害者环境之外。
**证据**
4. **凭证窃取调查**
**目标**
识别恶意软件收集的认证信息。
**发现**
恶意软件截获了:
- 用户名
- 密码
这表明该恶意软件具有信息窃取工具的功能。
**Amazon 账户泄露**
被窃取的邮件中包含了 Amazon 的登录凭证。
**账户**
Amazon: Amazon
用户名:admin@windows11users.com
密码(已编码):3Fo76#PTf4P$Im!9mkL5069e=
App. 数据:Thunderbird
5. **SMTP 认证分析**
**目标**
分析认证尝试,以识别攻击者控制的邮件服务器所使用的凭证。
**过程**
SMTP 认证数据包中包含了 Base64 编码的凭证。
执行的步骤:
1. 定位 SMTP 认证数据包。
2. 展开数据包详细信息。
3. 识别 Base64 编码值。
4. 启用 Wireshark 解码。
`Protocol Preferences < Decode Base64 Auth Parameters`
5. 查看解码后的凭证
解码后的认证凭证
服务 | webhostbox.net
用户名 | marketing@transgear.in
密码 | M@sswØrd#621
**证据**
**入侵指标**
受害者 IP | 192.168.1.27
受害者 MAC | bc:ea:fa:22:74:fb
计算机名 | BRIANA's-PC
用户名 | admin@windows10users.com
SMTP 发件人 | marketing@transgear.in
SMTP 收件人 | zaritkt@arhitektondizajn.com
CPU | Intel(R) Core(TM) i5-13600K
内存 (RAM) | 32 GB
**展示的技能**
- Wireshark 数据包分析
- SMTP 流量调查
- TCP stream 重构
- 恶意软件行为分析
- 凭证发现
- IOC 识别
- 应急响应文档编写
- 网络取证
**关键发现**
- 恶意软件收集了系统侦察信息
- 受害者的凭证被窃取
- 敏感信息通过 SMTP 进行传输
- 使用外部电子邮件通信进行数据外发
- 成功恢复了 Base64 编码的认证凭证
**经验教训**
本项目通过分析数据包捕获和识别恶意行为,提升了我调查可疑网络活动的能力。这次调查进一步印证了在应急响应过程中,监控邮件流量、检测异常出站通信以及记录取证证据的重要性。标签:DAST, HTTP工具, IP 地址批量处理, Wireshark, 句柄查看, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本