ianiketkumar7/Malware-Analysis-ftW.exe-Trojan-MSIL-BPLogger

# 🦠 恶意软件分析：ftW.exe (Trojan.MSIL/BPLogger)      ## 📊 快速摘要 | Attribute | Value | |----------|------| | Malware Name | ftW.exe | | Type | Trojan (Information Stealer) | | Family | MSIL/BPLogger | | Detection Rate | 77.8% | | Key Behavior | Credential Theft + C2 Beaconing | ## 📌 概述 本仓库展示了对 **ftW.exe** 的全面恶意软件分析，这是一个伪装成合法应用程序的 .NET 木马。 分析涵盖： - 静态分析 - 动态分析 - 内存取证 - 调试与逆向工程 ## 🧾 恶意软件分类 - **File Name:** ftW.exe - **Type:** Trojan (Information Stealer) - **Family:** Trojan.MSIL/BPLogger - **Platform:** Windows (.NET) - **Architecture:** 32-bit - **Threat Level:** High ## 🔍 样本元数据 - **SHA256:** `7bed0eed3f423b22cecbfdd23aad0ca8c3b0e8fb550c0402e19e0273f7c27d3` - **File Size:** 618 KB - **Compilation Timestamp:** 2104-09-17 (Suspicious - Future Date) - **Detection Rate:** 77.8% (VirusTotal) ## ⚙️ 使用工具 - PEStudio - VirusTotal - FLARE VM - Process Monitor - Regshot - Wireshark - FakeNet - FTK Imager - Volatility - IDA - dnSpy - PowerShell ## 🔗 攻击流程 1. 用户执行 ftW.exe（伪装为计算器） 2. 初始化虚假登录/注册界面 3. 生成多个进程（自我复制行为） 4. 准备凭据收集机制 5. 尝试连接远程 C2 服务器 6. 观察到内存注入和 RWX 区域 7. 通过注册表访问进行系统侦察 ## ⚠️ 关键能力 - 凭据收集（虚假登录/注册 UI） - 键盘记录潜力（已启用键盘拦截） - 进程注入（检测到 RWX 内存区域） - 网络信标（C2 通信尝试） - 系统侦察（TCP/IP 注册表访问） - 使用资源和虚假 UI 进行混淆 ## 🌐 网络指标 - **C2 IP:** `194.156.79.239` - **Port:** `55615` ## 🧪 行为观察 - 快速生成多个进程实例 - 启动 Conhost 进程以执行命令 - 访问 TCP/IP 参数的注册表 - 重复的出站连接尝试 - 无成功的 C2 通信（服务器可能处于非活动状态） ## 🧠 内存分析亮点 - 检测到 RWX（读-写-执行）内存区域 - 识别出内存中的 PE 伪影 - 可能存在代码注入/解包的证据 - .NET 程序集使用 WCF 相关库 - 自主执行（无需用户交互） ## 🐞 调试洞察 - 高熵（7.483）→ 可能存在混淆 - .NET 可执行文件使用 CLR (`mscoree.dll`) - 虚假应用程序身份 - 通过本地数据库 (`db_users.mdb`) 收集凭据 - 使用用户输入构建 SQL 查询（不安全） - 启用 KeyPreview → 潜在的键盘记录行为 ## 🧬 MITRE ATT&CK 映射 - **Credential Access:** T1056 (Input Capture) - **Execution:** T1059 (.NET Execution) - **Persistence:** T1547 (Registry Run Keys - attempted) - **Defense Evasion:** T1027 (Obfuscation) - **Command & Control:** T1071 (Application Layer Protocol) - **Discovery:** T1082 (System Information Discovery) ## 🚫 观察到的限制 - 无活动 C2 响应（服务器可能离线） - 沙箱中未触发凭据收集 UI - 未检测到持久性注册表自动运行条目 ## 🛡️ 检测与预防 ### 检测 - 监控异常 .NET 进程 - 检测 RWX 内存分配 - 标记重复的出站连接尝试 - 识别可疑的基于 GUI 的凭据提示 ### 预防 - 阻止已知的恶意哈希 - 限制与可疑 IP 的出站连接 - 使用 EDR 进行基于行为的检测 ## 📄 详细报告 - [静态与动态分析](static-dynamic-analysis.md) - [内存与调试分析](memory-debugging.md) ## 📁 完整报告 (PDF) - [报告 1](reports/Malware%20Analysis%201%20Report.pdf) - [报告 2](reports/Malware%20Analysis%202%20Report.pdf) ## 🧪 实验室环境 - OS: Windows 10 (VM) - Tools: FLARE VM, Wireshark, Volatility - Network: Host-only (isolated environment) ## 🧾 最终评估 ftW.exe 是一个来自 BPLogger 家族的基于 .NET 的信息窃取木马。 它采用社会工程学（虚假计算器 UI）、凭据收集技术和多种规避策略。 尽管某些恶意功能在沙箱环境中保持非活动状态，但内存和行为分析有力地证实了其恶意意图。 ## ⚠️ 免责声明 本仓库仅用于**教育和研究目的**。 - 不包含实时恶意软件样本 - 所有分析均在受控环境中进行 - 切勿在安全实验室设置之外执行未知二进制文件

标签：AI合规, BPLogger, C2通信, Conpot, DAST, dnSpy, DNS 反向解析, DNS 解析, ESC8, FLARE VM, IDA, IP 地址批量处理, MSIL逆向, .NET安全, SecList, SSH蜜罐, Windows安全, 云安全监控, 云资产清单, 信息窃取器, 内存取证, 多人体追踪, 威胁情报, 开发者工具, 恶意软件分析, 数据包嗅探, 木马分析, 杀毒软件逃逸, 社会工程学, 私有化部署, 网络安全审计, 进程注入, 逆向工程, 键盘记录, 防御规避, 静态分析