Rena45678/redline-stealer-malware-analysis

GitHub: Rena45678/redline-stealer-malware-analysis

使用ANY.RUN沙箱对RedLine Stealer信息窃取恶意软件进行动态分析的教学案例,包含完整的行为观察、IOC提取和MITRE ATT&CK技术映射。

Stars: 0 | Forks: 0

# RedLine Stealer 恶意软件分析 ## 概述 本项目是对 **RedLine Stealer**(一种信息窃取恶意软件)的动态分析。 该分析使用 **ANY.RUN 恶意软件沙箱** 进行,旨在安全的环境中观察恶意软件的行为。 RedLine Stealer 通常通过网络钓鱼邮件、恶意下载和虚假软件安装程序传播。一旦执行,它会在后台静默运行,并从受感染的系统中窃取敏感信息。 ## 使用的工具 - ANY.RUN 沙箱 - Wireshark - VirusTotal ## 恶意软件行为 ### 进程活动 该恶意软件创建了其可执行进程的多个实例。这使得即使其中一个进程被终止,恶意软件仍能继续运行。 ![Process Tree](https://raw.githubusercontent.com/Rena45678/redline-stealer-malware-analysis/main/screenshots/process_tree.png) ### 网络活动 该恶意软件尝试与外部的命令与控制(C2)服务器进行通信。 C2 IP 示例: 95.179.148.51 ![Network Activity](https://raw.githubusercontent.com/Rena45678/redline-stealer-malware-analysis/main/screenshots/network_activity.png) ### 注册表更改 恶意软件修改了注册表值以禁用系统跟踪和日志记录,这有助于其逃避检测。 ![Registry Changes](https://raw.githubusercontent.com/Rena45678/redline-stealer-malware-analysis/main/screenshots/registry_changes.png) ## 妥协指标 (IOCs) 文件哈希 0d5bfc0c20d8142640a572b53e611015b225c0312faac51006c299e59a061a8a.exe C2 IP 地址 95.179.148.51 联系过的域名 fp-afd.azurefd.net ![IOCs](https://raw.githubusercontent.com/Rena45678/redline-stealer-malware-analysis/main/screenshots/iocs.png) ## 观察到的 MITRE ATT&CK 技术 - T1566.001 – 鱼叉式钓鱼附件 - T1204.002 – 恶意文件执行 - T1562.002 – 禁用 Windows 事件日志记录 - T1012 – 查询注册表 - T1082 – 系统信息发现 - T1571 – 非标准端口 - T1095 – 非应用层协议 ## 项目报告 完整报告: Group5_WK12_AnyRunFinal_12062025.pdf ## 作者 Rena Sani 网络安全学生
标签:ANY.RUN 沙箱, CTF 与安全实战, MITRE ATT&CK 映射, RedLine Stealer, VirusTotal 扫描, Windows 注册表修改, Wireshark 网络分析, 事件日志禁用, 信息窃取程序, 入侵指标, 动态恶意软件分析, 勒索软件分析, 命令与控制 (C2), 恶意软件分析报告, 数据包嗅探, 无线安全, 系统信息发现, 网络威胁情报, 网络安全实验, 网络钓鱼攻击, 逆向工程入门, 非标准端口通信