Rhythm113/MalwareAnalysis

# Ramnit 恶意软件分析 分析师：Rhythm113 状态：进行中 ## 为什么选择此样本 我特别选择这个样本是因为它的注入技术。Ramnit 是一种寄生文件感染器，它通过在原始入口点前添加一个释放器存根来劫持合法的 DLL，这是一个 DLL 入口点注入的经典案例。分析它如何通过 PE 导出表遍历动态解析 API，使用滚动 XOR 解密嵌入的 payload，并在悄无声息地释放和执行第二阶段二进制文件的同时保持宿主 DLL 的功能，使其成为研究进程注入和规避机制的绝佳案例。 ## 样本 - SHA-256: ce2700966f2ce633908d111088351c66794a122a892e844816cc02372f028a13 - 类型: Win32 DLL (PE32, x86) - 家族: Ramnit / W32.Ramnit - 来源: https://bazaar.abuse.ch/sample/ce2700966f2ce633908d111088351c66794a122a892e844816cc02372f028a13/ ## 仓库结构 ``` ramnit/ README.md dll_dropper_flow.txt DLL dropper stub execution flow (step-by-step) ramnit_loader.i64 IDA Pro database for the infected DLL loader report/ ramnit_dll_dropper_report.md Full analysis report of the DLL dropper stage mgr_exe_unpacked_flow.txt Dropped mgr.exe unpacker execution flow construct_exe.py Python script to reconstruct the EXE from components extracted_mgr.exe.i64 IDA Pro database for the extracted mgr.exe payload Malware_Analysis_Report.pdf Full analysis report of the DLL dropper stage images/ 1.png 2.png 3.png 3.1.png 3.2.png 3.3.png 3.4.png 4.1.png 4.2.png 5.png 6.png 7.png 8.png 9.png 10.png 11.png ``` ## 分析报告 DLL 释放器报告 (report/ramnit_dll_dropper_report.md) -- 受感染 DLL 释放器存根的完整逆向工程报告。涵盖了寄生注入机制、动态 API 解析、XOR 解密、payload 释放与执行。包含带注释的伪代码、IOC、YARA 规则和 MITRE ATT&CK 映射。 ## 执行流程 DLL 释放器流程 (dll_dropper_flow.txt) -- 从受感染 DLL 入口点到清理并返回原始 DllMain 的逐步执行跟踪。 mgr.exe 脱壳器流程 (report/mgr_exe_unpacked_flow.txt) -- 被释放的 mgr.exe 的逐步执行跟踪，涵盖了反分析检查、XTEA 解密、导入表重建以及向脱壳后第二阶段的控制转移。 ## 为什么本仓库中没有 EXE/DLL 二进制文件 实际的恶意软件二进制文件（受感染的 DLL 和被释放的 mgr.exe）未包含在此仓库中，原因如下： 1. 安全性 -- 在通用仓库中托管存活恶意软件样本会带来意外执行的风险。 2. 可用性 -- 该样本可在 MalwareBazaar（见上方链接）公开获取，任何人都可以通过 SHA-256 哈希值下载。被释放的 mgr.exe 可以使用包含的 construct_exe.py 脚本重新构建。 3. 包含了 IDA 数据库 -- .i64 数据库包含了分析所需的所有反汇编、反编译、注释和重命名的符号。(IDA Pro 9.1)

标签：API接口, DAST, DLL注入, DNS 反向解析, Fail2ban, IDA Pro, PE文件解析, Ramnit, SSH蜜罐, Win32, 中高交互蜜罐, 二进制分析, 云安全运维, 云资产清单, 动态API解析, 威胁情报, 安全报告, 开发者工具, 异或解密, 恶意软件分析, 恶意软件开发, 执行体展开, 流量审计, 端口监听, 脱壳, 规避防御, 进程注入, 逆向工具, 逆向工程