Tmitchy/Investigating-and-Performing-Dynamic-Malware-Analysis
GitHub: Tmitchy/Investigating-and-Performing-Dynamic-Malware-Analysis
这是一个通过动态分析技术调查和识别恶意软件安全威胁的项目,重点在于揭示其运行时行为与C2服务器通信。
Stars: 0 | Forks: 0
# 动态恶意软件调查与分析
随着网络威胁数量的不断增加,理解恶意软件的运作机制对于有效检测、分析和防御网络攻击至关重要。恶意软件分析是网络安全的一个重要领域,专注于理解恶意软件的行为及其对系统的影响。
作为一名有志于成为 SOC 分析师的人员,我正通过实践实验室不断培养实用的网络安全技能。本任务涉及执行详细的恶意软件分析,以确定所提供的文件是否构成安全威胁。该过程包括检查文件的结构、行为和代码,以识别任何恶意功能。同样,也要调查其如何与指挥和控制 (C2) 服务器建立并维持通信。
**📌 概述**
本项目的目标是探索恶意软件的行为方式、如何通过动态分析技术识别它,以及分析师如何提取入侵指标以支持威胁检测和事件响应。通过这项工作,我旨在加强分析思维、威胁调查和安全监控技能,同时积累与实际 SOC 运营相关的实践经验。
**工具**
- LetsDefend
- Wireshark
- Fiddler
- AnyRun
- Process Hacker
- Procmon
- 虚拟机
## 关注领域 **动态分析是在我们自己的系统上实际运行恶意软件并分析其在操作系统上活动的方法。**
恶意软件运行时,会像普通应用程序一样创建进程。由于所有系统活动都通过进程发生,因此识别与恶意软件相关的进程是分析的关键第一步。重点关注进程活动(例如子进程、导入的 DLL 和运行该进程的用户帐户)对于更好地理解恶意软件行为非常重要。 ## 恶意软件样本 1: (位置: Desktop/Malware Samples/law.exe) **SHA256:c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe**
### 进程活动
为了有效监控虚拟机上的更改,第一步是收集完成此任务所需的基本工具。其中一个工具是 Regshot,可用于记录虚拟机上当前运行的进程。捕获此初始快照后,下一步是执行受感染的程序并让其运行一段时间。此步骤有助于收集第二个快照,以识别程序启动的任何新更改。
随后进入数据分析阶段,在此阶段利用 Process Hacker 等工具来定位任何恶意进程。在此实例中,可疑活动可追溯到 explore.exe 进程,这凸显了在检测恶意软件时进行彻底监控和分析的重要性。
接下来的步骤涉及比较两个快照,以识别受感染程序访问的文件和注册表。必须分析程序的目标、确定哪些文件被修改,并收集其他需要仔细关注的关键信息。
如前所述,恶意软件会更改文件、事件和注册表。通过检查“添加的值”,我们可以为我们的分析识别这些关键更改。
共有 24,197 个值被添加到注册表中。对这些值进行快速分析后,我发现该程序主要针对“HKLM\DRIVERS\DriverDatabase\DeviceIds\PCI”下的键。据信,恶意软件正在执行系统侦察;访问此键允许恶意软件在执行任何恶意操作之前收集有关机器硬件环境的信息。
另一个需要关注的领域是“修改的值”。可以看到该程序修改了 74 个值,目标包括:
- .NET Framework
- Windows 诊断和遥测
- 应用程序兼容性
- 通知
- 磁盘诊断
- 计划任务
- 等等
这些访问大部分是正常的 Windows 行为,但恶意软件也可能查询它们以进行:
- 系统侦察
- 虚拟机/沙箱检测
- 兼容性检查
- 规避遥测
- 创建持久性
最安全相关的条目是:
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
恶意软件经常利用计划任务作为在系统上建立持久性的方法,使其即使在重启或用户不活动后也能维持存在。
接下来,由于 Process Hacker 仅显示特定时刻正在运行的进程,恶意软件可能在我们未监控的时间创建了子进程,然后又终止了它。此时,Procmon 工具就变得非常宝贵。通过点击顶部菜单中的“显示进程树”按钮,Procmon 将显示其在监控期间记录的进程树。
受感染的程序启动了两个进程:一个父进程,进程 ID 为 4192;一个子进程,进程 ID 为 3828。父进程名为 "c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe",它执行子进程,该子进程名称相同但执行不同的任务。 检查父进程和子进程。Procmon 记录了这两个进程的开始和结束时间,以及进行这些修改的用户的详细信息,还有在系统上使用的执行路径和命令。 恶意软件被注入到用户 "LETSDEFEND1" 的临时文件中,使用的命令是:"C:\Users\LETSDE~1\AppData\Local\Temp\1\Rar$EXb5000.31500\c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe"。 下一步是检查任务计划程序,因为恶意软件利用计划任务在系统上建立持久性;任务计划程序上没有创建恶意任务。
接下来是通过过滤 Procmon 中 PID 值为 4192 和 3828 的进程来检测这些进程的网络、文件、事件和注册表活动。通过右键单击恶意软件的顶级父进程并按下“将进程及子进程添加到包含过滤器”按钮,Procmon 会创建这些过滤器以供分析。 ### 网络活动
许多类型的恶意软件具有使用 HTTP 协议与攻击者建立的指挥和控制 (C2) 服务器通信的能力。这些连接可以使用 Fiddler 工具轻松检测。如上图所示,该恶意软件没有建立任何连接;但这并不一定意味着没有连接。 ### 注册表活动
该图像显示恶意软件执行了全面的系统侦察。此过程涉及扫描系统以识别可能被利用的潜在漏洞。通过精心绘制环境图,恶意软件旨在发现弱点并利用它们,从而损害系统的安全性。
### 文件活动
该图像显示恶意软件执行了几次查询、创建了文件并修改了少数文件。 恶意软件分析遗漏了一些细节,特别是关于网络活动以及是否有任何 DLL 扩展被部署或下载到系统中。 为了找到答案,部署了沙箱工具 "ANYRUN" 来继续分析。 ### ANYRUN
执行受感染程序 "law.exe" 后,观察到系统行为出现了几个显著变化。如随附图片所示,通过 HTTP 协议建立了清晰的连接,表明可能与远程服务器进行了通信。该连接揭示了有关恶意软件功能的更多见解,这些见解在最初的分析中不幸被忽略了。通过此连接检索的信息对于理解感染的全面程度可能至关重要,并有助于制定更有效的应对措施。 **网络活动**
提供的信息表明,恶意软件与域名 *"us2.smtp.mailhostbox.com"* 建立了连接,该域名与 IP 地址 *"208.91.198.46"* 相关联。此连接是通过端口 *587* 建立的,该端口指定用于 **SMTP (简单邮件传输协议)** 通信。这表明恶意软件很可能正在将窃取的凭证传输到邮件服务器,沙箱分析结果也支持这一发现,表明该恶意软件具有间谍软件功能。此外,数据还突出显示了与同一域名关联的其他 IP 地址。 进行了威胁分析以检查系统建立的连接。Suricata 入侵检测系统 (IDS) 提供了重要细节,包括目标 IP 地址 *"192.168.100.224"*。该地址与潜在的威胁活动相关联。分析还显示,恶意软件通过目标端口 *"55653"* 进行连接,该信息已通过 Wireshark 的数据得到确认。这些信息有助于明确系统面临的安全风险。 **文件活动**
开始分析时,我导航到相关文件并启动了哈希验证过程,以确认所讨论的可执行文件的完整性。验证成功后,我通过 Virustotal 收集了该文件的额外信息。报告显示该文件确实是恶意的,检测率达到 60%。 在之前的分析中,已确认恶意软件进行了系统侦察和文件创建。然而,在最初的检查中忽略了一个重要细节:沙箱环境识别出恶意软件在 AppData 目录中创建了一个名为 *"AheGmkp.exe"* 的可执行文件。这一发现凸显了在未来分析中进行彻底审查的必要性,以确保不会遗漏任何关键操作。恶意软件使用注册表键来确保持久性。键 = "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"
**AGENTTESLA** 是一种复杂的间谍软件,专门设计用于通过窃取敏感信息来破坏用户安全。它专注于捕获密码等凭据,这些凭据可用于未经授权访问各种帐户和系统。除了密码,AGENTTESLA 还能从受感染设备中提取机密文件。此外,它还具有键盘记录器的功能,记录用户的每一次击键,从而增强了其恶意活动的潜力。鉴于其能力及其对敏感数据窃取的关注,AGENTTESLA 被认为极度危险,并对个人和组织的安全构成重大威胁。 ## 结论 总之,使用上述工具,成功分析了 `law.exe` 文件,并识别出几种恶意行为。这些行为包括建立 C2(指挥和控制)连接以传输敏感数据、修改注册表键以维持持久性,以及在用户临时目录中创建文件。这表明该文件旨在维持未经授权的访问、规避检测,并可能损害受影响系统的机密性和完整性。
- Wireshark
- Fiddler
- AnyRun
- Process Hacker
- Procmon
- 虚拟机
## 关注领域 **动态分析是在我们自己的系统上实际运行恶意软件并分析其在操作系统上活动的方法。**
恶意软件运行时,会像普通应用程序一样创建进程。由于所有系统活动都通过进程发生,因此识别与恶意软件相关的进程是分析的关键第一步。重点关注进程活动(例如子进程、导入的 DLL 和运行该进程的用户帐户)对于更好地理解恶意软件行为非常重要。 ## 恶意软件样本 1: (位置: Desktop/Malware Samples/law.exe) **SHA256:c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe**
### 进程活动
为了有效监控虚拟机上的更改,第一步是收集完成此任务所需的基本工具。其中一个工具是 Regshot,可用于记录虚拟机上当前运行的进程。捕获此初始快照后,下一步是执行受感染的程序并让其运行一段时间。此步骤有助于收集第二个快照,以识别程序启动的任何新更改。
随后进入数据分析阶段,在此阶段利用 Process Hacker 等工具来定位任何恶意进程。在此实例中,可疑活动可追溯到 explore.exe 进程,这凸显了在检测恶意软件时进行彻底监控和分析的重要性。
接下来的步骤涉及比较两个快照,以识别受感染程序访问的文件和注册表。必须分析程序的目标、确定哪些文件被修改,并收集其他需要仔细关注的关键信息。
如前所述,恶意软件会更改文件、事件和注册表。通过检查“添加的值”,我们可以为我们的分析识别这些关键更改。
共有 24,197 个值被添加到注册表中。对这些值进行快速分析后,我发现该程序主要针对“HKLM\DRIVERS\DriverDatabase\DeviceIds\PCI”下的键。据信,恶意软件正在执行系统侦察;访问此键允许恶意软件在执行任何恶意操作之前收集有关机器硬件环境的信息。
另一个需要关注的领域是“修改的值”。可以看到该程序修改了 74 个值,目标包括:
- .NET Framework
- Windows 诊断和遥测
- 应用程序兼容性
- 通知
- 磁盘诊断
- 计划任务
- 等等
这些访问大部分是正常的 Windows 行为,但恶意软件也可能查询它们以进行:
- 系统侦察
- 虚拟机/沙箱检测
- 兼容性检查
- 规避遥测
- 创建持久性
最安全相关的条目是:
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
恶意软件经常利用计划任务作为在系统上建立持久性的方法,使其即使在重启或用户不活动后也能维持存在。
接下来,由于 Process Hacker 仅显示特定时刻正在运行的进程,恶意软件可能在我们未监控的时间创建了子进程,然后又终止了它。此时,Procmon 工具就变得非常宝贵。通过点击顶部菜单中的“显示进程树”按钮,Procmon 将显示其在监控期间记录的进程树。
受感染的程序启动了两个进程:一个父进程,进程 ID 为 4192;一个子进程,进程 ID 为 3828。父进程名为 "c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe",它执行子进程,该子进程名称相同但执行不同的任务。 检查父进程和子进程。Procmon 记录了这两个进程的开始和结束时间,以及进行这些修改的用户的详细信息,还有在系统上使用的执行路径和命令。 恶意软件被注入到用户 "LETSDEFEND1" 的临时文件中,使用的命令是:"C:\Users\LETSDE~1\AppData\Local\Temp\1\Rar$EXb5000.31500\c7513589f3f2e02007be1301c2f08c8809ea7526d85d7efcaf3bccf767a38855.exe"。 下一步是检查任务计划程序,因为恶意软件利用计划任务在系统上建立持久性;任务计划程序上没有创建恶意任务。
接下来是通过过滤 Procmon 中 PID 值为 4192 和 3828 的进程来检测这些进程的网络、文件、事件和注册表活动。通过右键单击恶意软件的顶级父进程并按下“将进程及子进程添加到包含过滤器”按钮,Procmon 会创建这些过滤器以供分析。 ### 网络活动
许多类型的恶意软件具有使用 HTTP 协议与攻击者建立的指挥和控制 (C2) 服务器通信的能力。这些连接可以使用 Fiddler 工具轻松检测。如上图所示,该恶意软件没有建立任何连接;但这并不一定意味着没有连接。 ### 注册表活动
该图像显示恶意软件执行了全面的系统侦察。此过程涉及扫描系统以识别可能被利用的潜在漏洞。通过精心绘制环境图,恶意软件旨在发现弱点并利用它们,从而损害系统的安全性。
### 文件活动
该图像显示恶意软件执行了几次查询、创建了文件并修改了少数文件。 恶意软件分析遗漏了一些细节,特别是关于网络活动以及是否有任何 DLL 扩展被部署或下载到系统中。 为了找到答案,部署了沙箱工具 "ANYRUN" 来继续分析。 ### ANYRUN
执行受感染程序 "law.exe" 后,观察到系统行为出现了几个显著变化。如随附图片所示,通过 HTTP 协议建立了清晰的连接,表明可能与远程服务器进行了通信。该连接揭示了有关恶意软件功能的更多见解,这些见解在最初的分析中不幸被忽略了。通过此连接检索的信息对于理解感染的全面程度可能至关重要,并有助于制定更有效的应对措施。 **网络活动**
提供的信息表明,恶意软件与域名 *"us2.smtp.mailhostbox.com"* 建立了连接,该域名与 IP 地址 *"208.91.198.46"* 相关联。此连接是通过端口 *587* 建立的,该端口指定用于 **SMTP (简单邮件传输协议)** 通信。这表明恶意软件很可能正在将窃取的凭证传输到邮件服务器,沙箱分析结果也支持这一发现,表明该恶意软件具有间谍软件功能。此外,数据还突出显示了与同一域名关联的其他 IP 地址。 进行了威胁分析以检查系统建立的连接。Suricata 入侵检测系统 (IDS) 提供了重要细节,包括目标 IP 地址 *"192.168.100.224"*。该地址与潜在的威胁活动相关联。分析还显示,恶意软件通过目标端口 *"55653"* 进行连接,该信息已通过 Wireshark 的数据得到确认。这些信息有助于明确系统面临的安全风险。 **文件活动**
开始分析时,我导航到相关文件并启动了哈希验证过程,以确认所讨论的可执行文件的完整性。验证成功后,我通过 Virustotal 收集了该文件的额外信息。报告显示该文件确实是恶意的,检测率达到 60%。 在之前的分析中,已确认恶意软件进行了系统侦察和文件创建。然而,在最初的检查中忽略了一个重要细节:沙箱环境识别出恶意软件在 AppData 目录中创建了一个名为 *"AheGmkp.exe"* 的可执行文件。这一发现凸显了在未来分析中进行彻底审查的必要性,以确保不会遗漏任何关键操作。恶意软件使用注册表键来确保持久性。键 = "HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN"
**AGENTTESLA** 是一种复杂的间谍软件,专门设计用于通过窃取敏感信息来破坏用户安全。它专注于捕获密码等凭据,这些凭据可用于未经授权访问各种帐户和系统。除了密码,AGENTTESLA 还能从受感染设备中提取机密文件。此外,它还具有键盘记录器的功能,记录用户的每一次击键,从而增强了其恶意活动的潜力。鉴于其能力及其对敏感数据窃取的关注,AGENTTESLA 被认为极度危险,并对个人和组织的安全构成重大威胁。 ## 结论 总之,使用上述工具,成功分析了 `law.exe` 文件,并识别出几种恶意行为。这些行为包括建立 C2(指挥和控制)连接以传输敏感数据、修改注册表键以维持持久性,以及在用户临时目录中创建文件。这表明该文件旨在维持未经授权的访问、规避检测,并可能损害受影响系统的机密性和完整性。
标签:AlienVault OTX, AMSI绕过, C2通信, DAST, IOCs提取, Process Hacker, SOC分析师, Wireshark, 代码分析, 凭证管理, 句柄查看, 威胁检测, 恶意软件分析, 生成式AI安全, 网络安全, 虚拟机, 隐私保护