Ryan12450/malware-analysis-greenway

# Greenway Energy 恶意软件分析（YARA 规则） 本仓库包含作为 COS20030 恶意软件分析课程一部分而开发的 YARA 规则。 ## 📌 描述 该规则用于检测伪装成系统更新工具、充当下载器/投放器 的恶意软件样本。 ## 🔍 检测逻辑 该规则使用了： - PE 头验证 - 基于导入表的检测： - WININET.dll（网络活动） - ADVAPI32.dll（注册表持久化） - 字符串指标： - 虚假更新消息 - 注册表 Run 键 - 反转的 GitHub URL - 可疑文件名（system_patch.zip, svchost.exe） ## ⚠️ 妥协指标 - 注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run - 文件： system_patch.zip - 进程： svchost.exe（位于 Temp 目录中） - 网络： GitHub 下载（反转的 URL） ## 📁 文件 - `greenway_rule.yar` – 主 YARA 检测规则 ## 👨‍🎓 作者 - Cheok Zhi Hong - Hannah Suk Yin Lim ## 🎓 课程 COS20030 恶意软件分析

标签：AMSI绕过, Cloudflare, COS20030, DAST, DNS信息、DNS暴力破解, DNS 解析, Downloader, Dropper, GitHub滥用, IOC, IP 地址批量处理, MITRE ATT&CK, PE文件分析, YARA规则, 后门检测, 威胁检测, 导入表分析, 恶意软件分析, 教育项目, 样本分析, 注册表Run键, 网络信息收集, 网络活动, 自定义DNS解析器, 虚假系统更新