KESAVA-0725/Malware-Analysis-Threat-Investigation-Lab

## 🔍 恶意软件分析与威胁调查实验室 – 项目总结 本仓库记录了四个实践性的恶意软件分析挑战，每个挑战都涉及不同的真实恶意软件样本。该分析结合了静态分析、动态分析和网络流量检查，以了解恶意软件行为、payload 执行、持久化机制以及命令与控制 (C2) 通信。 ## 🔴 警告 🔴 在继续之前，请仔细阅读此内容。 本仓库包含**活动恶意软件样本**和**故意制作的恶意二进制文件**，仅严格用于**教育和研究目的**，包括恶意软件分析、逆向工程和防御性安全培训。 部分样本模拟了真实的恶意软件行为，而其他样本可能是**真实的“野外”恶意软件**。**所有样本都具有潜在危险性**，必须极其谨慎地处理。 ## ⚠️ 安全指南 - ❌ **请勿在非您所有的系统上下载或执行这些样本。** - ❌ **请勿在生产环境或个人机器上运行这些样本。** - ❌ **请勿在虚拟化、隔离环境之外执行样本。** - ✅ 始终使用具有回滚功能的**沙盒化 VM**。 - ✅ 在需要时安全地模拟网络活动。 - ✅ 始终遵循**安全的恶意软件处理最佳实践**。 访问或使用本仓库的内容即表示您承认已了解相关风险，并接受对正确处理这些材料承担**全部责任**。 对于因不当使用造成的任何损害、数据丢失或滥用，作者**概不负责**。 **仅供教育目的使用。** ## 🧪 分析环境 本仓库中记录的所有恶意软件分析均在一个**受控的隔离实验室环境**中进行，使用： - 专用的**虚拟机** - **快照和还原**功能 - **网络模拟工具**（例如 INetSim） - 不接触生产或个人系统 ## 🧪 恶意软件样本映射 下表说明了本仓库中的每个挑战使用了哪个恶意软件样本： | 恶意软件归档 | 关联挑战 | 描述 | |-----------------|---------------------|-------------| | `putty.7z` | 挑战 1 | 用于静态和动态分析的木马化 PuTTY (SillyPutty) 样本 | | `unknown.exe.7z` | 挑战 2 | 用于数据窃取和加密分析的 Nim 编译恶意软件 | | `RAT.unknown.exe.malz.7z` | 挑战 3 | 演示持久化、反分析和命令执行的 RAT 恶意软件 | | `RAT.unknown.exe.7z` | 挑战 4 | 用于 DNS 劫持和 C2 通信分析的 Reverse shell 恶意软件 | ### 🔐 归档密码 所有恶意软件样本均**受密码保护**。 **密码：** `infected`（本仓库中的所有恶意软件样本使用相同的密码） ⚠️ 提供这些样本**严格用于教育和研究目的**，并且只能在**隔离的受控环境**中处理。 ## 🛠️ 用于恶意软件分析的工具 以下工具在各项挑战中用于静态分析、动态分析和网络检查： ### 🔍 静态分析工具 - `strings` – 从二进制文件中提取可读字符串 - `FLOSS` – 识别和解码混淆字符串 - `PEstudio` – 恶意软件指标和 PE 文件检查 - `PEview` – 底层 PE 结构分析 - `Cutter` – 逆向工程和二进制分析 ### 🧪 动态与基于主机的分析工具 - `Process Monitor (ProcMon)` – 监控进程、文件和注册表活动 - `TCPView` – 监控活动的 TCP/UDP 连接 - `Netcat` – 监听器设置和 Reverse shell 交互 ### 🌐 网络分析与模拟工具 - `INetSim` – 用于安全引爆恶意软件的模拟互联网服务 - `Wireshark` – 网络流量捕获和协议分析 ### 🧾 辅助 / 实用工具 - `VirusTotal` – 哈希信誉和恶意软件分类 - `CertUtil` – 生成加密哈希 (SHA-256) - `7-Zip` – 处理受密码保护的恶意软件归档 ## 🧪 展示的关键技能与技术 静态恶意软件分析（strings、PE 检查、FLOSS） 使用沙盒环境进行动态分析 进程和文件活动监控 (Procmon) 网络流量分析（Wireshark、INetSim） PowerShell payload 提取和解码 DNS 劫持与 C2 流量重定向 Reverse shell 和 RAT 行为分析 IOC 识别与记录 ## 🧩 挑战亮点 # 挑战 1 – 木马化 PuTTY (SillyPutty) - 分析了一个伪装成合法 PuTTY 可执行文件的 32 位 Windows PE。 - 识别出嵌入在二进制文件中的 Base64 + GZIP 压缩 PowerShell reverse shell。 - 在引爆时观察到 PowerShell 执行，已通过 Procmon 确认。 - 提取的 C2 详细信息： - 域名：bonus2.corporatebonusapplication.local - 协议：SSL/TLS - 端口：8443 - 通过 VirusTotal 验证了恶意软件信誉（60/71 检测率）。 # 挑战 2 – 基于 Nim 的数据窃取恶意软件 - 识别出使用 Nim 编写并编译为 64 位可执行文件的恶意软件。 - 观察到数据窃取被中断时的条件性自删除行为。 - 跟踪了多阶段网络通信： - 用于执行验证的初始回调域名 - 用于加密数据外发的独立域名 - 确认： - cosmo.jpeg 的文件外发 - 使用 passwrd.txt 中的密钥 (SikoMode) 进行 RC4 加密 - 通过 HTTP GET 请求以加密数据块的形式发送数据 - 未观察到持久化机制。 # 挑战 3 – 具有反分析功能的持久化 RAT - 检测到反分析行为（在没有活动网络模拟的情况下停止执行）。 - 恶意软件下载伪装过的 payload 并建立启动文件夹持久化。 - 在 5555 端口上打开了监听 TCP socket，充当后门。 - 通过 Netcat 验证了远程命令执行。 -识别出 Base64 编码的 C2 响应，确认了命令行注入型木马行为。 # 挑战 4 – DNS 劫持与 Reverse shell 分析 - 恶意软件尝试对硬编码的 C2 域名进行 HTTPS 回调。 - 通过将该域名的 DNS 解析重定向到 localhost，成功劫持了 DNS。 - 捕获了通过 443 端口进行的实时 Reverse shell 交互。 - 在安全的实验室环境中演示了由攻击者控制的命令执行。 - 确认了 Nim 编译的二进制文件行为，其命令执行是通过 cmd.exe 进行的。 # 🛡️ 成果 本项目演示了端到端的恶意软件分析工作流程——从初始分拣和静态检查到动态执行、网络拦截、payload 提取以及行为确认。它反映了与真实世界恶意软件威胁相一致的 SOC 级别调查技能。

标签：AI合规, DAST, IP 地址批量处理, 云安全监控, 云资产清单, 恶意软件分析, 沙箱环境, 逆向工程, 静态分析