analyzing-network-traffic-of-malware

分析恶意软件的网络流量

适用场景

• 沙箱执行已捕获 PCAP 文件，需要详细分析网络行为
• 识别 C2 协议结构，用于编写网络检测签名
• 确定恶意软件泄露的数据及其目标外部基础设施
• 分析 DNS 隧道、域名生成算法（DGA）或快速通量行为
• 根据观察到的恶意软件网络模式创建 Suricata/Snort 签名

不适用于恶意软件行为的基于主机的分析；请使用 Cuckoo 沙箱报告或 Volatility 内存分析进行进程级活动分析。

前置条件

• Wireshark 4.x，用于交互式 PCAP 分析
• tshark（Wireshark CLI），用于脚本化数据包提取
• Zeek，用于从 PCAP 自动生成元数据
• Suricata，带 ET Open/ET Pro 规则集用于签名匹配
• NetworkMiner，用于从 PCAP 中提取文件和检测凭据
• Python 3.8+，安装 scapy 和 dpkt 用于程序化数据包分析

工作流程

步骤 1：PCAP 初步概览

获取网络流量的高层次理解：

# 捕获统计
capinfos malware.pcap

# 协议层次
tshark -r malware.pcap -q -z io,phs

# 端点统计（主要通信方）
tshark -r malware.pcap -q -z endpoints,ip

# 会话统计
tshark -r malware.pcap -q -z conv,tcp

# DNS 查询摘要
tshark -r malware.pcap -q -z dns,tree

步骤 2：分析 DNS 活动

检查 DNS 查询中的 DGA、隧道或 C2 域名解析：

# 提取所有 DNS 查询
tshark -r malware.pcap -T fields -e frame.time -e dns.qry.name -e dns.a \
  -Y "dns.flags.response == 1" | sort

# 检测 DGA 模式（高熵域名）
python3 << 'PYEOF'
import math
from collections import Counter

def entropy(s):
    p = [n/len(s) for n in Counter(s).values()]
    return -sum(pi * math.log2(pi) for pi in p if pi > 0)

# 从 tshark 输出解析 DNS 查询
import subprocess
result = subprocess.run(
    ["tshark", "-r", "malware.pcap", "-T", "fields", "-e", "dns.qry.name",
     "-Y", "dns.flags.response == 0"],
    capture_output=True, text=True
)

domains = set(result.stdout.strip().split('\n'))
print("可疑 DNS 查询（高熵）：")
for domain in domains:
    if domain:
        subdomain = domain.split('.')[0]
        ent = entropy(subdomain)
        if ent > 3.5 and len(subdomain) > 10:
            print(f"  {domain}（熵值：{ent:.2f}）")
PYEOF

# 检测 DNS 隧道（大型 TXT 响应）
tshark -r malware.pcap -T fields -e dns.qry.name -e dns.txt \
  -Y "dns.resp.type == 16 and dns.resp.len > 100"

步骤 3：分析 HTTP/HTTPS C2 通信

检查基于 Web 的命令与控制流量：

# 提取 HTTP 请求
tshark -r malware.pcap -T fields \
  -e frame.time -e ip.src -e ip.dst -e http.host \
  -e http.request.method -e http.request.uri -e http.user_agent \
  -Y "http.request"

# 提取 HTTP 响应体（潜在的载荷下载）
tshark -r malware.pcap -T fields \
  -e http.host -e http.request.uri -e http.content_type -e tcp.len \
  -Y "http.response and tcp.len > 1000"

# 提取 POST 数据（潜在的数据泄露）
tshark -r malware.pcap -T fields \
  -e http.host -e http.request.uri -e http.file_data \
  -Y "http.request.method == POST"

# TLS 分析（SNI、JA3 指纹）
tshark -r malware.pcap -T fields \
  -e tls.handshake.extensions_server_name \
  -e tls.handshake.ja3 \
  -Y "tls.handshake.type == 1"

# 提取 TLS 证书详情
tshark -r malware.pcap -T fields \
  -e x509ce.dNSName -e x509af.serialNumber \
  -e x509sat.utf8String \
  -Y "tls.handshake.type == 11"

# 导出 HTTP 对象（下载的文件）
tshark -r malware.pcap --export-objects http,exported_files/

步骤 4：检测信标模式

识别表明 C2 信标的规律周期性通信：

# 从 PCAP 进行信标检测
from scapy.all import rdpcap, IP, TCP
from collections import defaultdict
import statistics

packets = rdpcap("malware.pcap")

# 按目标 IP:端口分组连接
connections = defaultdict(list)
for pkt in packets:
    if IP in pkt and TCP in pkt:
        if pkt[TCP].flags & 0x02:  # SYN 标志
            dst = f"{pkt[IP].dst}:{pkt[TCP].dport}"
            connections[dst].append(float(pkt.time))

# 分析时序间隔以检测信标
print("信标分析：")
for dst, times in connections.items():
    if len(times) >= 5:
        intervals = [times[i+1] - times[i] for i in range(len(times)-1)]
        avg = statistics.mean(intervals)
        stdev = statistics.stdev(intervals) if len(intervals) > 1 else 0
        jitter = (stdev / avg * 100) if avg > 0 else 0

        if 10 < avg < 3600 and jitter < 30:  # 抖动 < 30% 的规律间隔
            print(f"  [!] {dst}：{len(times)} 次连接")
            print(f"      间隔：{avg:.1f}s ± {stdev:.1f}s（抖动：{jitter:.1f}%）")
            print(f"      模式：可能是信标")

步骤 5：生成网络检测签名

根据观察到的流量模式创建 Suricata/Snort 规则：

# 对 PCAP 运行 Suricata 以匹配现有签名
suricata -r malware.pcap -l suricata_output/ -c /etc/suricata/suricata.yaml

# 查看告警
cat suricata_output/fast.log

# 根据观察到的模式创建自定义 Suricata 规则
cat << 'EOF' > custom_malware.rules
# 基于观察到的 URI 模式的 C2 信标检测
alert http $HOME_NET any -> $EXTERNAL_NET any (
    msg:"MALWARE MalwareX C2 Beacon";
    flow:established,to_server;
    http.method; content:"POST";
    http.uri; content:"/gate.php?id=";
    http.user_agent; content:"Mozilla/5.0 (compatible; MSIE 10.0)";
    sid:9000001; rev:1;
)

# 已知 C2 域名的 DNS 查询
alert dns $HOME_NET any -> any any (
    msg:"MALWARE MalwareX C2 DNS Query";
    dns.query; content:"update.malicious.com";
    sid:9000002; rev:1;
)

# 恶意软件 TLS 客户端的 JA3 哈希匹配
alert tls $HOME_NET any -> $EXTERNAL_NET any (
    msg:"MALWARE MalwareX JA3 Match";
    ja3.hash; content:"a0e9f5d64349fb13191bc781f81f42e1";
    sid:9000003; rev:1;
)
EOF

步骤 6：从流量中提取文件和工件

恢复传输的文件和嵌入数据：

# 使用 Zeek 提取文件
zeek -r malware.pcap /opt/zeek/share/zeek/policy/frameworks/files/extract-all-files.zeek
ls extract_files/

# 使用 NetworkMiner 提取文件（GUI）
# 或使用 tshark 导出特定协议
tshark -r malware.pcap --export-objects http,http_objects/
tshark -r malware.pcap --export-objects smb,smb_objects/
tshark -r malware.pcap --export-objects tftp,tftp_objects/

# 对所有提取的文件计算哈希值
sha256sum http_objects/* smb_objects/* 2>/dev/null

# 生成 Zeek 日志以获取全面的元数据
zeek -r malware.pcap
# 输出：conn.log, dns.log, http.log, ssl.log, files.log 等

核心概念

术语	定义
信标（Beaconing）	恶意软件到 C2 服务器的规律性周期连接，通过一致的时间间隔和数据包大小识别
JA3/JA3S	TLS 指纹方法，通过 ClientHello/ServerHello 参数创建哈希值，唯一标识恶意软件 TLS 实现
DGA（域名生成算法）	生成恶意软件查询以定位 C2 服务器的伪随机域名的算法，规避静态域名黑名单
DNS 隧道	将数据编码在 DNS 查询和响应中，通过 DNS 基础设施建立 C2 信道或泄露数据
快速通量（Fast Flux）	DNS 技术，快速轮换域名的 IP 地址以避免下线，并将 C2 分布到许多被攻陷的主机
SNI（服务器名称指示）	TLS 扩展，显示客户端连接的主机名；即使在加密的 HTTPS 连接中也可见
网络签名	Suricata/Snort 规则，匹配网络流量（头部、载荷、时序）中的特定模式以检测恶意通信

工具与系统

• Wireshark：开源数据包分析器，用于在协议级深入交互检查网络流量
• Zeek：网络分析框架，从实时或捕获的流量生成结构化元数据日志（conn、dns、http、ssl）
• Suricata：高性能网络 IDS/IPS，带 Lua 脚本支持签名检测和自定义检测逻辑
• NetworkMiner：网络取证分析工具，用于从 PCAP 文件中提取文件、图像和凭据
• Scapy：Python 数据包处理库，用于程序化数据包分析、信标检测和协议解码

常见场景

场景：解码自定义二进制 C2 协议

场景背景：恶意软件通过 TCP 端口 8443 使用自定义二进制协议与 C2 服务器通信。标准 HTTP 分析无结果。需要从 PCAP 逆向工程协议结构。

方法：

1. 过滤 TCP 端口 8443 的会话并跟踪 TCP 流
2. 识别消息框架（长度前缀、分隔符、固定大小头部）
3. 比较多条消息以识别静态头部字段与可变数据字段
4. 与 Ghidra 的逆向工程结果交叉验证（如果已分析二进制文件）
5. 为自定义协议编写 Wireshark 解析器或 Scapy 解析器
6. 创建 Suricata 规则，匹配静态头部字节用于网络检测
7. 记录完整的协议规范用于威胁情报共享

常见陷阱：

• 只分析最初几个数据包；某些 C2 协议在初始握手后会改变行为
• 当沙箱具有 MITM 能力时未解密 TLS 流量
• 将合法的 CDN 或云流量与 C2 混淆（验证目标 IP）
• 遗漏使用 DNS 或 ICMP 而非 TCP/UDP 的 C2 流量

输出格式

恶意软件网络流量分析
===================================
PCAP 文件：      malware_sandbox.pcap
时长：           300 秒
总数据包：       12,847
总字节数：       4.2 MB

DNS 活动
总查询数：       47
检测到 DGA：     是（23 个高熵查询到 .com TLD）
隧道：           否
解析的 C2：      update.malicious[.]com -> 185.220.101[.]42

C2 通信
协议：           HTTPS（TLS 1.2）
服务器：         185.220.101[.]42:443
SNI：            update.malicious[.]com
JA3 哈希：       a0e9f5d64349fb13191bc781f81f42e1
信标间隔：       60.2s ± 6.8s（抖动 11.3%）
总会话数：       237
发送数据：       147 MB
接收数据：       2.3 MB
证书：           CN=update.malicious[.]com（自签名，已过期）

载荷下载
GET /payload.dll from compromised-site[.]com
  大小：98,304 字节
  SHA-256：abc123def456...
  Content-Type：application/octet-stream

数据泄露
方法：           HTTPS POST 到 /gate.php
Content-Type：   application/octet-stream
平均大小：       每次请求 15,432 字节
总量：           4 小时内 147 MB

SURICATA 告警
[1:2028401] ET MALWARE Generic C2 Beacon Pattern
[1:2028500] ET POLICY Self-Signed Certificate

生成的签名
SID 9000001：MalwareX HTTP 信标模式
SID 9000002：MalwareX DNS C2 域名
SID 9000003：MalwareX JA3 TLS 指纹