dipendra-k-c/Malware-Analysis-and-Reverse-Engineering

# 恶意软件分析与逆向工程 这是一个实践性的恶意软件分析实验室，涵盖了在完全隔离的沙箱虚拟机中对真实恶意软件样本进行的静态、动态和自动化分析。每个样本都使用相同的可重复工作流进行检查：识别与哈希计算、命令行初步分析、深入的静态分析、动态/行为分析（如已执行），以及结合 MITRE ATT&CK 映射的自动化沙箱分析。 # $\color{yellow}{\text{免责声明}}$ 所有样本均来自公开的恶意软件仓库（MalwareBazaar 和 tria.ge），仅供教育目的使用。每个样本都在隔离的、进行网络分段的虚拟机中进行引爆和检查，没有连接到生产系统或互联网（网络行为是使用 FakeNet-NG 在本地模拟的）。本仓库仅记录分析过程——不包含任何活动的恶意软件二进制文件、生成器或可用的漏洞利用代码。 # 实验室环境 | 环境 | 用途 | | --- | --- | | Windows 10 (FLARE-VM) | 动态分析、沙箱引爆、注册表/进程监控 | | Ubuntu (REMnux) | 深度静态分析、脱壳、反汇编 | | Kali linux | 命令行初步分析、哈希计算、签名扫描 | # 分析方法 每个样本都经过相同的四个阶段，结果记录在链接的文件中： 1. 识别 - 来源，SHA256/SHA1/MD5 哈希计算 2. CLI 初步分析 - 使用 **clamscan**、**file**、**xxd**、**ndisasm**、**strings**、**capa**、**ssdeep** 快速了解文件类型、加壳情况以及行为能力。 3. 静态分析 (REMnux) - 使用 **binwalk**、**pestr**、**peframe**、**diec/die**、**radare2** 进行更深入的 PE 结构、加壳和反汇编检查。 4. 动态/自动化分析 - 行为监控（regshot、FakeNet-ng、Procmon、Wireshark）和/或通过 hybrid-analysis.com 进行自动化沙箱引爆，包括 MITRE ATT&CK 技术映射。 # 使用的工具 | 类别 | 工具 | | --- | --- | | 识别与哈希计算 | $\color{red}{\text{file}}$、$\color{red}{\text{xxd}}$、$\color{red}{\text{clamscan}}$、$\color{red}{\text{ssdeep}}$ | | 静态/反汇编 | $\color{red}{\text{strings}}$、$\color{red}{\text{ndisasm}}$、$\color{red}{\text{capa}}$、$\color{red}{\text{binwalk}}$、$\color{red}{\text{pestr}}$、$\color{red}{\text{peframe}}$、$\color{red}{\text{diec}}$、$\color{red}{\text{radare2}}$、$\color{red}{\text{Ghidra}}$ | | 加壳检测 | $\color{red}{\text{upx}}$、$\color{red}{\text{diec}}$ | | 动态分析 | regshot、Fakenet-ng、Procmon、wireshark | | shellcode 模拟 | scdbg | | 自动化沙箱 | hybrid-analysis.com、MITRE ATT&CK Navigator | # 分析的样本 | 样本 | 类型 | 来源 | 关键行为 | | --- | --- | --- | --- | | Remcos RAT | 远程访问木马 | tria.ge | RDP 访问、键盘记录、注册表持久化、C2 信标请求 | | Redline Stealer | 信息窃取器 | MalwareBazaar | 凭证/浏览器数据窃取、C2 数据外传 | | wannacry | 勒索软件 | MalwareBazar | 严重加壳/混淆、SMB 漏洞利用、大规模网络传播 | # Remcos Rat 一款商业 RAT，经历了完整的静态、动态和自动化工作流分析。 1. 命令行初步分析： CLI 初步分析，ssdeep 确认了文件修改后的模糊哈希相似性。 2. 使用 remnux 分析： 静态分析显示了一个庞大的、包含大量函数的入口点，这是 RAT 加载器的典型特征。 3. 动态分析： 在隔离的、进行网络分段的虚拟机中进行实机引爆。regshot 差异对比显示添加了 23 个注册表项，添加了 64 个值并修改了 24 个值（$\color{red}{\text{总共 111 处更改，包括新的自启动/shell 项}}$）；Fakenet-ng 捕获了针对恶意软件 C2 域名的 DNS 请求。procmon 追踪了完整的进程树、TCP/UDP 连接以及用于持久化和时间戳篡改的注册表读写操作，并分离出二进制文件中存储的配置/许可证值以便进一步提取。 4. 自动化分析： hybrid-analysis.com 报告：根据 crowdstrike 判定 100% 恶意，20/26 AV 检出率，识别出 RDP 访问和键盘记录拦截行为，基于 DNS 的 C2 通信，MITRE ATT&CK 映射（58 个指标）。 # Wannacry 这款 2017 年的勒索软件蠕虫，针对其静态加壳特征和自动化沙箱行为进行了分析。 1. 使用 remnux 分析： 静态分析证实该二进制文件经过了严重的加壳和混淆处理，提取了超过 32,000 行字符串，并在 radare2 和 DIE 中进行了广泛的反汇编审查。 2. 自动化分析： hybrid-analysis.com 报告：根据 crowdstrike 判定 100% 恶意，21/24 AV 检出率，联系了 2 个域名和 8,428 台主机（与其 SMB 蠕虫传播行为及 eternalblue/MS17-010 漏洞利用一致），以及 3 份独立的 MITRE ATT&CK 报告，平均每份映射了 144 个指标。 # Redline Stealer 一款信息窃取恶意软件，针对其静态特征和自动化沙箱行为进行了分析。 1. 使用 remnux 分析： 使用了命令行工具（clamscan、xxd、ndisasm）进行分析，ssdeep 模糊哈希测试表明，插入了单个 null 字节 的样本修改副本尽管具有不同的加密哈希，但通过模糊哈希仍然与原始样本匹配。进行了更深度的静态分析并识别出了一个编码区段。 2. 自动化分析： hybrid-analysis.com 沙箱报告：被 CrowdStrike falcon 标记为 100% 恶意，在 MetaDefender 上 21/26 AV 引擎检出，与 1 个域名和 2 台主机通信，以及完整的 MITRE ATT&CK 分类（221 个映射指标），涵盖侦察、执行、持久化、提权、防御规避、凭证访问、发现、收集 C2 和数据外传。

标签：DAST, IP 地址批量处理, MITRE ATT&CK映射, 云安全监控, 云资产清单, 恶意软件分析, 无线安全, 网络安全审计, 虚拟机沙箱, 逆向工程, 静态分析