sumitguptaaa/malware-analysis-reports

# 恶意软件分析报告 针对真实样本的静态、动态和代码分析的结构化恶意软件分析报告 —— IOCs、YARA 规则以及映射到 MITRE ATT&CK 的 TTPs # 恶意软件分析报告 记录真实恶意软件样本分析的结构化技术报告合集。每份报告涵盖静态分析、动态分析、代码级逆向工程以及检测特征。 ## 分析师 **Sumit Gupta** — 恶意软件分析师 | 安全研究员 | 印度德里 正在攻读 CPTS | HTB Academy | 目标是 CDSA 和 GREM ## 仓库结构 ``` malware-analysis-reports/ ├── AgentTesla/ ├── FormBook/ ├── RedLine/ ├── AsyncRAT/ ├── NjRAT/ ├── Emotet/ ├── GuLoader/ ├── tools/ └── ioc-master.csv ``` ## 分析方法论 每份报告均遵循此结构： | 章节 | 内容 | |---------|----------| | Executive Summary | 恶意软件家族、功能概览、威胁等级 | | Sample Metadata | 哈希、文件类型、编译器、加壳工具 | | Static Analysis | 字符串、导入表、PE 头、熵值 | | Dynamic Analysis | 进程行为、网络、持久化、注册表 | | Code Analysis | Ghidra 反编译、关键函数、算法 | | IOCs | 哈希、IP、域名、文件路径、互斥体、注册表键 | | YARA Rule | 针对样本测试的自定义检测规则 | | ATT&CK Mapping | 观察到的 MITRE ATT&CK 技术 | ## 使用的工具 - **Ghidra** — 静态逆向工程 - **x64dbg** — 动态调试 - **REMnux** — Linux 分析环境 - **FlareVM** — Windows 分析环境 - **Wireshark / Inetsim** — 网络流量捕获 - **Volatility 3** — 内存取证 - **PEStudio / DIE** — PE 文件分析 - **Any.run / Tria.ge** — 自动化沙箱 - **YARA** — 检测规则验证 ## 样本处理 ⚠️ 本仓库中不存储实际的恶意软件二进制文件。 所有样本仅通过哈希值引用。 样本来源：MalwareBazaar、VirusTotal、Any.run ## 报告索引 | # | 家族 | 类型 | 日期 | 关键发现 | |---|--------|------|------|-------------| | 001 | AgentTesla | 信息窃取器 | 2026-03 | SMTP C2 渗透 | | 002 | FormBook | 信息窃取器 | 2026-04 | 进程镂空 | | ... | ... | ... | ... | ... | ## IOC 数据库 来自所有报告的汇总 IOC 可在 `ioc-master.csv` 中找到 格式：`hash, type, family, date_first_seen, source` ## 联系方式 - 博客: - LinkedIn:https://www.linkedin.com/in/sumittguptaaa - Twitter/X: - 邮箱: sljsumitgupta@gmail.com *所有分析均在隔离的实验室环境中进行。* *报告仅用于教育和防御目的。* ``` --- ```

标签：AgentTesla, AsyncRAT, C2 通信, Cloudflare, DAST, DNS 反向解析, DNS 解析, Emotet, FlareVM, FormBook, Ghidra, GuLoader, HTTP工具, IOC 指标, IP 地址批量处理, MITRE ATT&CK, NjRAT, PE 文件分析, RedLine, REMnux, SecList, Wireshark, YARA 规则, 云安全监控, 云资产清单, 代码分析, 入侵指标, 内存取证, 凭证管理, 句柄查看, 合规性检查, 威胁情报, 威胁检测规则, 安全研究员, 安全研究报告, 开发者工具, 恶意软件分析, 攻防知识库, 数据包嗅探, 无线安全, 样本分析, 沙箱逃逸, 混合加密, 网络信息收集, 网络安全, 网络安全审计, 网络流量分析, 蓝队防御, 逆向工程, 隐私保护, 静态分析