文章总结： 文档介绍利用Claude3.7模型自动化分析Wireshark流量包的方法，通过提取pcap文件要素生成恶意软件分析报告。报告发现受感染Windows客户端与多个C2服务器通信，包括加密TLS连接和HTTP信标行为，并给出隔离设备、封锁恶意IP等缓解措施。作者提及处理大文件本地化分析和优化提示词等技术难点。 综合评分： 82 文章分类： 恶意软件,威胁情报,安全工具,安全运营,漏洞分析

利用Claude3.7分析wireshark流量包

原创

MicroPest MicroPest

MicroPest

2025年4月18日 14:16 安徽

在小说阅读器读本章

去阅读

一直以来，手工分析Wireshark的流量包都是一件痛苦的事情。现在大模型出来了，终于利用Claude3.7 sonnet实现了wireshark流量包的自动化解析。

一、生成的报告

一段带有C2的恶意软件的环境，给它一段提示词，Claude进行分析，形成报告，先来看下：

恶意网络流量分析报告

摘要：本报告基于对pcap包捕获文件的详细分析。分析显示网络中存在一台受感染的Windows客户端，该客户端与至少两个可疑的命令与控制(C2)服务器保持着通信。通过流量分析，我们能够确定受感染主机的关键信息以及所使用的攻击基础设施。

#

被感染设备详情

| 信息类型 | 值 |
| --- | --- |
| IP地址 | 10.1.17.215 |
| MAC地址 | 00:d0:b7:26:4a:74 |
| 系统类型 | Windows |
| 网络环境 | 活动目录域环境 |

#

恶意活动分析

可疑DNS查询和网络连接

分析期间观察到以下可疑DNS查询和网络连接：

1. 客户端对login.microsoftonline.com进行DNS查询，这可能是正常的Microsoft服务，但在本上下文中可能是攻击者为了网络钓鱼尝试而操纵的域名
2. 客户端多次尝试解析ping3.dyngate.com，这些尝试均失败并接收到”No such name”（不存在此名称）的响应
3. 与可疑IP地址45.125.66.252建立并维持加密的TLS连接（端口443）
4. 向IP地址5.252.153.241（端口80）发送定期重复的HTTP GET请求，路径固定为”/1517096937″，尽管始终收到404错误响应

C2通信模式

分析显示两种不同的C2通信模式：

1. 加密的持续连接：

• 目标IP：45.125.66.252
• 端口：443 (HTTPS)
• 特征：长时间保持TLS加密会话，定期小数据包交换

1. HTTP信标通信：

• 目标IP：5.252.153.241
• 端口：80 (HTTP)
• 特征：周期性HTTP GET请求到固定URI路径”/1517096937″，即使持续收到404响应仍继续尝试
• 这种模式典型地代表恶意软件的”信标”行为，即定期向C2服务器报告存在

可能的攻击链

根据流量分析，可以推断以下可能的攻击链：

1. 初始感染 – 很可能是通过伪装成Microsoft认证页面的网络钓鱼攻击
2. 恶意软件建立 – 成功感染后，恶意软件在目标系统上安装
3. C2通信建立 – 恶意软件与多个C2服务器建立通信信道
4. 持久性通信 – 恶意软件维持与C2服务器的周期性通信，等待进一步指令

#

潜在威胁和影响

1. 数据泄露风险：C2服务器可能指示恶意软件窃取敏感数据
2. 横向移动：受感染系统可能成为攻击者在网络中横向移动的跳板
3. 网络持久性：建立的C2通道允许攻击者长期潜伏在网络中
4. 额外有效载荷：C2服务器可能随时下发额外的恶意软件

#

建议的缓解措施

1. 隔离IP地址为10.1.17.215的受感染设备
2. 在防火墙上阻止与以下IP地址的所有通信：

• 45.125.66.252
• 5.252.153.241

1. 对受感染系统进行完整的恶意软件清除和重置
2. 检查其他设备是否有相似的C2通信模式
3. 更新所有系统用户的凭据，特别是与受感染系统相关的账户
4. 审查组织的网络钓鱼防御机制并加强员工的安全意识培训

结论

流量分析揭示了一个活跃的恶意软件感染，该感染维持着与至少两个C2服务器的通信。这种活动模式表明可能存在持续性威胁，应立即采取缓解措施以防止进一步的网络入侵和数据泄露。

二、简单介绍下构建分析过程

1、构建好wireshark的MCP；

2、将pcap包提取出要素，形成txt文件；

3、对txt文件利用Cluade进行分析，提示词如下：

现有wireshark的pcap包的txt文件，请根据内容回答以下几个问题：

• 受感染的 Windows 客户端的 IP 地址是什么？

• 受感染的 Windows 客户端的 MAC 地址是什么？

• 受感染的 Windows 客户端的主机名是什么？

• 受感染的 Windows 客户端的用户账户名是什么？

• 假冒的 Google 身份验证器页面可能的域名是什么？

• 此次感染所使用的 C2 服务器的 IP 地址有哪些？

三、几个问题

在这过程中有几个难点问题需要解决，

一是pcap包大模型通常不能识别，我采取的是文本文件，好处是文件大小不限，但一般通常都很大，只能本地化分析，上传分析会受限；

二是从pcap包中提取要素，利用py代码根据需要提取出来，用wireshark分组导出，效果不好；

三是提示词可以再优化。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：MicroPest MicroPest MicroPest《利用Claude3.7分析wireshark流量包》