TyrelleKJ/Wireshark-Malware-Incident-Response-Investigation

GitHub: TyrelleKJ/Wireshark-Malware-Incident-Response-Investigation

该项目展示了如何使用 Wireshark 对恶意软件感染事件进行网络流量取证分析,追踪数据外发路径并提取入侵指标。

Stars: 0 | Forks: 0

# Wireshark 恶意软件应急响应调查 **项目概述** 本项目展示了如何使用 Wireshark 调查疑似恶意软件感染。目标是分析网络流量,识别入侵指标,重构恶意邮件通信,并确定从受害者系统中窃取了哪些信息。 调查重点分析了恶意软件生成的 SMTP 流量,这些恶意软件在将数据传输到外部电子邮件账户之前,收集了系统信息和用户凭证。 **调查场景** 从受感染的工作站中发现了一封可疑电子邮件。通过进行网络流量分析来确定: 1. 恶意软件收集了哪些信息 2. 窃取的数据被传输到了哪里 3. 哪些凭证遭到了泄露 4. 能够协助应急响应的指标 **使用的工具** - Wireshark | 网络流量分析和数据包检查 - TCP Stream 分析 | 重构邮件通信 - SMTP 过滤 | 识别可疑的邮件流量 - Base 64 解码 | 恢复编码的认证数据 1. **调查过程** **识别可疑的 SMTP 流量** **目标** 识别恶意软件生成的电子邮件流量,并定位包含窃取信息的通信: 应用 SMTP 过滤器并检查数据包,识别出可疑的出站电子邮件通信。 Image **发现:** 恶意软件通过 SMTP 邮件流量传输了收集到的信息 2. **提取系统信息** **目标** 确定恶意软件从受害者机器中收集了哪些信息 **过程** 选中 SMTP 数据包并追踪 TCP stream,以重构邮件内容。 **发现:** 恶意软件收集了以下系统信息: 硬件名称 | Briana's PC Windows 用户名 | admin@windows10users.com CPU | Intel(R)Core(TM) i5-13600K 内存 (RAM) | 32 GB **证据** Image 3. **识别数据外发** **目标** 确定窃取的信息被发送到了何处。 **邮件分析** 重构后的邮件包含以下 SMTP 信息: 发件人:marketing@transgear.in 收件人:zarikt@arhitektondizajn.com **分析** 外部收件人电子邮件地址被识别为潜在的入侵指标,因为敏感信息被传输到了受害者环境之外。 **证据** Image 4. **凭证窃取调查** **目标** 识别恶意软件收集的认证信息。 **发现** 恶意软件截获了: - 用户名 - 密码 这表明该恶意软件具有信息窃取工具的功能。 **Amazon 账户泄露** 被窃取的邮件中包含了 Amazon 的登录凭证。 **账户** Amazon: Amazon 用户名:admin@windows11users.com 密码(已编码):3Fo76#PTf4P$Im!9mkL5069e= App. 数据:Thunderbird Image 5. **SMTP 认证分析** **目标** 分析认证尝试,以识别攻击者控制的邮件服务器所使用的凭证。 **过程** SMTP 认证数据包中包含了 Base64 编码的凭证。 执行的步骤: 1. 定位 SMTP 认证数据包。 2. 展开数据包详细信息。 3. 识别 Base64 编码值。 4. 启用 Wireshark 解码。 `Protocol Preferences < Decode Base64 Auth Parameters` 5. 查看解码后的凭证 解码后的认证凭证 服务 | webhostbox.net 用户名 | marketing@transgear.in 密码 | M@sswØrd#621 **证据** Image Image **入侵指标** 受害者 IP | 192.168.1.27 受害者 MAC | bc:ea:fa:22:74:fb 计算机名 | BRIANA's-PC 用户名 | admin@windows10users.com SMTP 发件人 | marketing@transgear.in SMTP 收件人 | zaritkt@arhitektondizajn.com CPU | Intel(R) Core(TM) i5-13600K 内存 (RAM) | 32 GB **展示的技能** - Wireshark 数据包分析 - SMTP 流量调查 - TCP stream 重构 - 恶意软件行为分析 - 凭证发现 - IOC 识别 - 应急响应文档编写 - 网络取证 **关键发现** - 恶意软件收集了系统侦察信息 - 受害者的凭证被窃取 - 敏感信息通过 SMTP 进行传输 - 使用外部电子邮件通信进行数据外发 - 成功恢复了 Base64 编码的认证凭证 **经验教训** 本项目通过分析数据包捕获和识别恶意行为,提升了我调查可疑网络活动的能力。这次调查进一步印证了在应急响应过程中,监控邮件流量、检测异常出站通信以及记录取证证据的重要性。
标签:DAST, HTTP工具, IP 地址批量处理, Wireshark, 句柄查看, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本