利用Claude3.7分析wireshark流量包

admin 2025年4月21日00:57:50评论20 views字数 1805阅读6分1秒阅读模式
一直以来,手工分析Wireshark的流量包都是一件痛苦的事情。现在大模型出来了,终于利用Claude3.7 sonnet实现了wireshark流量包的自动化解析。
一、生成的报告
一段带有C2的恶意软件的环境,给它一段提示词,Claude进行分析,形成报告,先来看下:
利用Claude3.7分析wireshark流量包
恶意网络流量分析报告

摘要:本报告基于对pcap包捕获文件的详细分析。分析显示网络中存在一台受感染的Windows客户端,该客户端与至少两个可疑的命令与控制(C2)服务器保持着通信。通过流量分析,我们能够确定受感染主机的关键信息以及所使用的攻击基础设施。

被感染设备详情

信息类型
IP地址
10.1.17.215
MAC地址
00:d0:b7:26:4a:74
系统类型
Windows
网络环境
活动目录域环境

恶意活动分析

可疑DNS查询和网络连接

分析期间观察到以下可疑DNS查询和网络连接:

  1. 客户端对login.microsoftonline.com进行DNS查询,这可能是正常的Microsoft服务,但在本上下文中可能是攻击者为了网络钓鱼尝试而操纵的域名
  2. 客户端多次尝试解析ping3.dyngate.com,这些尝试均失败并接收到"No such name"(不存在此名称)的响应
  3. 与可疑IP地址45.125.66.252建立并维持加密的TLS连接(端口443)
  4. 向IP地址5.252.153.241(端口80)发送定期重复的HTTP GET请求,路径固定为"/1517096937",尽管始终收到404错误响应

C2通信模式

分析显示两种不同的C2通信模式:

  1. 加密的持续连接:
    • 目标IP:45.125.66.252
    • 端口:443 (HTTPS)
    • 特征:长时间保持TLS加密会话,定期小数据包交换
  2. HTTP信标通信:
    • 目标IP:5.252.153.241
    • 端口:80 (HTTP)
    • 特征:周期性HTTP GET请求到固定URI路径"/1517096937",即使持续收到404响应仍继续尝试
    • 这种模式典型地代表恶意软件的"信标"行为,即定期向C2服务器报告存在

可能的攻击链

根据流量分析,可以推断以下可能的攻击链:

  1. 初始感染 - 很可能是通过伪装成Microsoft认证页面的网络钓鱼攻击
  2. 恶意软件建立 - 成功感染后,恶意软件在目标系统上安装
  3. C2通信建立 - 恶意软件与多个C2服务器建立通信信道
  4. 持久性通信 - 恶意软件维持与C2服务器的周期性通信,等待进一步指令

潜在威胁和影响

  1. 数据泄露风险:C2服务器可能指示恶意软件窃取敏感数据
  2. 横向移动:受感染系统可能成为攻击者在网络中横向移动的跳板
  3. 网络持久性:建立的C2通道允许攻击者长期潜伏在网络中
  4. 额外有效载荷:C2服务器可能随时下发额外的恶意软件

建议的缓解措施

  1. 隔离IP地址为10.1.17.215的受感染设备
  2. 在防火墙上阻止与以下IP地址的所有通信:
    • 45.125.66.252
    • 5.252.153.241
  3. 对受感染系统进行完整的恶意软件清除和重置
  4. 检查其他设备是否有相似的C2通信模式
  5. 更新所有系统用户的凭据,特别是与受感染系统相关的账户
  6. 审查组织的网络钓鱼防御机制并加强员工的安全意识培训

结论

流量分析揭示了一个活跃的恶意软件感染,该感染维持着与至少两个C2服务器的通信。这种活动模式表明可能存在持续性威胁,应立即采取缓解措施以防止进一步的网络入侵和数据泄露。

二、简单介绍下构建分析过程
1、构建好wireshark的MCP;
2、将pcap包提取出要素,形成txt文件;
3、对txt文件利用Cluade进行分析,提示词如下:
现有wireshark的pcap包的txt文件,请根据内容回答以下几个问题:
 • 受感染的 Windows 客户端的 IP 地址是什么? 
• 受感染的 Windows 客户端的 MAC 地址是什么? 
• 受感染的 Windows 客户端的主机名是什么?
 • 受感染的 Windows 客户端的用户账户名是什么?
 • 假冒的 Google 身份验证器页面可能的域名是什么?
 • 此次感染所使用的 C2 服务器的 IP 地址有哪些?
三、几个问题
在这过程中有几个难点问题需要解决,
一是pcap包大模型通常不能识别,我采取的是文本文件,好处是文件大小不限,但一般通常都很大,只能本地化分析,上传分析会受限;
二是从pcap包中提取要素,利用py代码根据需要提取出来,用wireshark分组导出,效果不好;
三是提示词可以再优化。

原文始发于微信公众号(MicroPest):利用Claude3.7分析wireshark流量包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月21日00:57:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   利用Claude3.7分析wireshark流量包http://cn-sec.com/archives/3974992.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息