milos-petrovic-cs/soc-analyst-report

# SOC 分析师报告 - Shift Browser 安装程序加载器 ## 概述 -威胁等级：高 (HIGH) -恶意软件类型：加载器 (Loader) / 潜在不受欢迎的应用程序 -分析师：Milos Petrovic -日期：2026年2月15日 -平台：Any.run Interactive Malware Sandbox -报告编号：CSPC250-MA-MIL-001 ## 主要发现 -使用 InnoSetup 安装程序框架进行载荷投递 -与 app.shift.com 基础设施进行 C2 通信 -通过 HTTPS POST 请求进行数据窃取 -使用欺骗性食谱网站作为社会工程学诱饵 -执行期间产生了 28 个进程 -识别出 101 个 IOC ## IOC 摘要 恶意域名： -app.shift.com -updates.shiftapis.com -attribution.shiftapis.com -cdn77-downloads.tryshift.com 文件哈希 (SHA-256)： 'EFC0B270CD70D3F1413A636877CC18702BC0EBB4B0B52A064CAC276507EFE4BD' ## MITRE ATT&CK 技术 ID | 技术 | --- | --- | | T1204.002 | 用户执行：恶意文件 (User Execution: Malicious File) | | T1105 | 入口工具转移 | | T1071.001 | 应用层协议：Web 协议 | | T1219 | 远程访问软件 | | T1082 | 系统信息发现 | ## 使用的工具 -Any.run Interactive Malware Sandbox -MITRE ATT&CK Framework -SHA256 哈希分析 -网络流量分析 ## 完整报告 请参阅 'Milos_SOC_Report.pdf' 以获取完整的分析，包括行为分析、网络分析、修复步骤以及完整的 IOC 列表。 ## 分析师 Milos Petrovic | 计算机科学学生 | Evangel University [LinkedIn](https://www.linkedin.com/in/milos-petrovic-cs) [GitHub](https://github.com/milos-petrovic-cs)

标签：AMSI绕过, C2通信, Cloudflare, DAST, ESC8, HTTPS POST, InnoSetup, IOCs, MITRE ATT&CK, PUA, Shift Browser, SOC分析报告, Yara规则, 任意执行沙箱, 入站工具传输, 加载器, 威胁检测, 恶意文件, 恶意软件分析, 数据窃取, 无线安全, 样本分析, 用户执行, 社会工程学, 系统信息发现, 网络信息收集, 网络威胁情报, 网络安全, 计算机病毒, 远程访问软件, 隐私保护, 高危威胁