分析惡意軟件的網絡流量有助于網絡安全團隊了解其行為、追蹤其來源并識別其目標。

通過檢查這些連接，分析師可以發現惡意模式，發現與命令和控制服務器的通信，并了解威脅的全部范圍。

以下是網絡流量分析的五種基本工具。讓我們來看看每種工具如何簡化和增強這一過程。

1. 數據包分析器

數據包分析器（通常稱為“數據包嗅探器”）是一種捕獲并檢查網絡中移動的數據包的工具。

這使您可以查看受感染系統的所有傳入和傳出數據，從而了解惡意軟件如何與命令和控制服務器通信、泄露數據或在網絡內傳播。

例如，跟蹤傳出的數據包可以幫助識別被盜數據，包括憑證、cookie 和其他私人信息。

在ANY.RUN 的沙箱中，網絡流窗口詳細顯示了每個連接的數據交換，讓您可以分析流量模式和數據包內容。 

只需選擇一個特定的連接即可訪問原始網絡流數據，其中接收的數據包以藍色突出顯示，發送的數據包以綠色突出顯示，從而輕松跟蹤通信流并了解惡意軟件的網絡行為。

2. Suricata IDS

Suricata 是一個開源入侵檢測系統(IDS)，可監控網絡流量并具有入侵防御、網絡安全監控和數據包捕獲功能。 

Suricata 分析網絡流量中的已知攻擊模式并標記可疑活動，幫助實時識別潛在的惡意軟件行為。

Suricata 通過根據規則集分析數據包和流數據來標記潛在威脅，幫助您快速發現可疑活動。 

該工具在惡意軟件執行期間提供有關異常連接或有效負載的有價值的警報。

3. MITM 代理

對于惡意軟件分析師來說，發現加密流量對于揭露攻擊者的方法和數據泄露路線至關重要。這就是 MITM（中間人）代理發揮作用的地方。 

MITM 代理工具通過插入自身作為中介來工作，允許分析師捕獲和解密惡意軟件與其命令和控制(C2) 服務器之間的 HTTPS 流量。

通過攔截 HTTPS 請求，該工具可以獲取監控實時流量所需的解密密鑰。此過程使加密信息完全可讀，從而使分析師能夠檢查惡意軟件收集或傳輸的特定數據，例如 IP、URL 或被盜憑證。

例如，在 ANY.RUN 的沙箱中，MITM 代理功能允許用戶在有組織的界面內查看解密的 HTTPS 流量。分析師可以點擊數據包查看通信流的詳細信息，并查看 SSL 密鑰以進行更深入的分析。

這是對 XWorm 惡意軟件樣本的分析，該樣本連接到 Telegram 機器人以從受感染的系統中竊取數據。

使用 MITM 代理，主機和 Telegram 機器人之間的流量被解密。

檢查 XWorm 的 GET 請求標頭，可以發現一個 Telegram 機器人令牌和攻擊者用于接收被盜數據的聊天 ID。利用這些組件，我們可以攔截樣本從所有受感染的機器中竊取的其他數據。

4. PCAP 提取器

PCAP Extractor 是一種在惡意軟件分析過程中捕獲和保存網絡流量數據的工具。PCAP 文件（數據包捕獲文件）存儲原始網絡數據，包括受感染系統與其外部連接之間傳輸的每個數據包。 

通過以 PCAP 格式保存這些數據，該工具允許分析師離線或使用其他軟件重新訪問和檢查數據包級別的詳細信息。

5.惡意軟件沙盒

惡意軟件沙箱是一個隔離的虛擬環境，旨在安全地分析惡意文件并觀察其行為，而不會危及真實系統。 

沙盒的主要優勢之一是，其中一些將惡意軟件分析所需的所有基本工具（如數據包分析器、MITM 代理、IDS 和 PCAP 提取器）集成到一個地方。這意味著您無需在不同工具之間切換即可全面了解惡意軟件的運行情況。

例如，在 ANY.RUN 等交互式惡意軟件沙箱中，您可以看到所有網絡連接、HTTP 和 DNS 請求，以及它們如何與惡意軟件執行期間啟動的特定進程相關聯。

這為您提供了威脅的總體視圖，幫助您了解每個組件如何交互，從而大大增強了檢測和響應力度。

更快地分析惡意軟件的網絡流量

上述工具對于分析惡意軟件的網絡行為非常重要，可以幫助您揭示其如何通信、傳播并可能泄露數據。 

但是，通過使用 ANY.RUN 沙箱之類的服務，您可以結合使用這些工具，從而更全面地了解每個進程和威脅的全部范圍。