Gidwisedebrave-ui/Malware_Analysis-WannaCry-RAT-.

# 🛡️ 恶意软件分析实验室 ### *WannaCry 与 RAT 行为分析（灵感源自 PMAT）*

## 📌 概述 本项目记录了在受控实验室环境中对勒索软件和远程访问木马 (RAT) 样本进行的**静态和动态分析**。 🔍 **目标：** * 识别恶意软件行为 * 提取威胁指标 (IOC) * 分析主机与网络活动 * 理解持久化机制 ## 🧪 实验室环境 | 组件 | 描述 | | ----------- | ----------------- | | OS | Windows 10 VM | | Hypervisor | Oracle VirtualBox | | Analysis VM | FLARE VM | ### 🔧 使用的工具 * Wireshark – Network traffic analysis * Process Monitor – Host activity tracking * PEStudio – Static analysis * FLOSS – String extraction * FakeNet-NG – Network simulation * TCPView – Active connections monitoring # 🔍 样本 1：WannaCry (勒索软件) ## 🧾 摘要 * **类型：** 勒索软件 * **行为：** 加密文件并显示勒索信 ## 🔑 关键发现 * 显示勒索界面 * 模拟文件加密 * 拒绝访问系统资源 ## 📊 结论 典型的勒索软件行为，展示了**文件加密和勒索技术**。 # 🔍 样本 2：Malware.Unknown.exe ## 🧾 样本信息 * **类型：** 木马下载器 * **检测：** 被多个 AV 引擎标记 ## 🔎 静态分析 ### 可疑 API： * `URLDownloadToFileW` → 下载 Payload * `ShellExecuteW` → 执行文件 ### 值得注意的字符串： * `favicon.ico` * 嵌入的 URL 指示符 ## ⚡ 动态分析 ### 🖥️ 主机行为 * 释放 Payload： ``` C:\Users\Public\Documents\CR433101.dat.exe ``` * 执行二级文件 * 离线时自我删除 ### 🌐 网络活动 * HTTP GET 请求： ``` /favicon.ico ``` ## 🚨 威胁指标 (IOC) | 类型 | 值 | | -------- | ------------------------- | | File | CR433101.dat.exe | | URL | /favicon.ico | | Behavior | Self-delete (no internet) | ## 📊 结论 表现为一个**具有反分析行为的下载器**，依赖互联网访问来执行 Payload。 # 🔍 样本 3：RAT.Unknown.exe ## 🧾 摘要 * **类型：** 远程访问木马 (RAT) ## 🔎 静态发现 * `InternetOpenW`, `InternetOpenUrlW` * `NO SOUP FOR YOU` * 可疑域名引用 ## ⚡ 动态发现 ### 🌐 网络 * 连接到： ``` http://serv1.ec2-102-95-13-2-ubuntu.local ``` * 下载： ``` /msdcorelib.exe ``` ### 🖥️ 主机行为 * 持久化： ``` Startup Folder ``` * 释放文件： ``` mscordll.exe ``` ### 🔌 后门活动 * 监听 **端口 5555** * 启用远程访问 (bind shell) ## 🚨 IOC | 类型 | 值 | | ------ | ---------------------------------- | | Domain | serv1.ec2-102-95-13-2-ubuntu.local | | File | mscordll.exe | | Port | 5555 | ## 📊 结论 该恶意软件充当**后门 RAT**，支持： * 远程命令执行 * 持久化 * Payload 投递 # 🔍 样本 4：RAT.Unknown2.exe ## ⚡ 关键发现 ### 🌐 网络行为 * DNS 查询： ``` aaaaaaaaaaaaaaaaaaaa.kadusus.local ``` * HTTPS 通信（端口 443） ### 🧠 规避技术 * 需要 DNS 解析才能执行 * 使用 hosts 文件重定向： ``` 127.0.0.1 → malicious domain ``` ### 🖥️ 进程行为 * 通过 `explorer.exe` 生成 * 发起出站连接 ## 🚨 IOC | 类型 | 值 | | ------ | ---------------------------------- | | Domain | aaaaaaaaaaaaaaaaaaaa.kadusus.local | | Port | 443 | ## 📊 结论 展示了**基于 DNS 的执行逻辑和沙箱规避技术**。 # 🧠 关键要点 * 恶意软件通常依赖于**网络连接** * **启动文件夹持久化**很常见 * **自我删除**用于规避检测 * 结合静态 + 动态分析可提供完整的可见性 # 🛡️ 检测机会 * 监控： ``` C:\Users\Public\Documents\ ``` * 对以下情况发出警报： * 未知进程打开端口 5555 * 可疑 DNS 查询 * 启动文件夹执行 # 📸 截图（添加你的截图） * Wireshark HTTP 请求捕获 * Procmon 文件创建日志 * FakeNet 模拟结果 # ✅ 展示的技能 ✔ 恶意软件分析（静态与动态） ✔ 网络流量分析 ✔ 威胁检测与 IOC 提取 ✔ SOC 分析师方法论 # 🚀 作者 **Odunayo Gideon Omotayo** * 有志成为 SOC 分析师 | 网络安全爱好者

标签：DAST, DNS 反向解析, FLARE VM, IOC提取, PEStudio, Process Monitor, RAT, SOC分析, WannaCry, Windows 10, Wireshark, 云安全监控, 云资产清单, 勒索软件, 句柄查看, 威胁情报, 安全实验, 开发者工具, 恶意样本, 恶意软件分析, 持久化机制, 沙箱, 生成式AI安全, 网络信息收集, 网络安全, 虚拟机, 远程访问木马, 逆向工程, 隐私保护, 静态分析