hvinhnguyen08/Malware_Analysis_OPSWAT

# 恶意软件分析 - OPSWAT 技术评估 **职位：** OPSWAT 初级威胁检测分析师 **作者：** Hoang Vinh Nguyen **日期：** 2026年3月27–30日 ## 概述 本仓库包含作为 OPSWAT 初级威胁检测分析师技术评估的一部分所提交的两个样本，经过手动恶意软件分析后的补充威胁情报交付物。这两个样本均在 AWS EC2 上的隔离 FlareVM 环境中进行了分析，结合使用了静态和动态分析技术。 ## 分析样本 | 样本 | 类型 | 分类 | C2 地址 | |--------|------|----------------|------------| | sample1.docm | 启用宏的 Word 文档 | 带有社会工程学诱饵的多阶段下载器 | `office-updatecentral.com` / `192.0.2.123` (RFC 5737 TEST-NET-1) | | sample2.svg | 嵌入 JavaScript 的 SVG | 带有 .NET 负载的多阶段社会工程学释放器 | `http://1.2.3.4/payload` (APNIC 研究网段) | ## 仓库内容 | 文件 | 描述 | |------|-------------| | `sample1_mitre_attack.json` | MITRE ATT&CK Navigator 层级映射，涵盖在 sample1.docm 执行链中观察到的 6 个战术下的 11 项技术 | | `sample1_stix_iocs.json` | STIX 2.1 包，包含从 sample1 中提取的所有 IoC —— C2 域名/IP、URL、文件哈希、URI 模式、User-Agent 字符串 | | `sample1_yara_rules.yar` | 2 条 YARA 检测规则：VBA 宏下载器模式和 XOR 编码 shellcode C2 指标 | | `sample2_mitre_attack.json` | MITRE ATT&CK Navigator 层级映射，涵盖在 sample2.svg 攻击链中观察到的 5 个战术下的 10 项技术 | | `sample2_stix_iocs.json` | STIX 2.1 包，包含从 sample2 中提取的所有 IoC —— SVG/exe 文件哈希、C2 URL/IP、ConfuserEx 标记、诱饵页面指标 | | `sample2_yara_rules.yar` | 3 条 YARA 检测规则：SVG Blob URL 释放器、Fiscalía 诱饵页面和 ConfuserEx .NET 加载器 | | `generate_stix_sample1.py` | 用于生成 sample1 STIX 2.1 IoC 包的 Python 脚本 | | `generate_stix_sample2.py` | 用于生成 sample2 STIX 2.1 IoC 包的 Python 脚本 | ## 样本 1 — 攻击链摘要 1. 受害者打开伪装成 Shibli Electronics“应付账款程序”SOP 的启用宏的 `.docm` 文件 2. VBA `DocuMENt_oPeN()` 自动执行，使用混合大小写以逃避关键字检测 3. 密码门 (`SCO@123`) 作为社会工程学和反沙箱措施 4. 两个延迟循环（各 405M 次迭代）耗尽沙箱监控窗口 5. 通过 `ZwProtectVirtualMemory` + `CryptEnumOIDInfo` 回调部署架构感知的 shellcode（x64：992 字节，x86：706 字节） 6. 通过 `urlmon.dll` (`URLDownloadToFileA`) 联系使用 XOR 解码（密钥 `0x97`）的 C2 URL ## 样本 2 — 攻击链摘要 1. SVG 文件显示嵌入的诱饵图像，冒充哥伦比亚 Fiscalía General de la Nación 2. `onclick` 处理程序触发 `openDocument()` JavaScript 函数 3. Base64 解码的 HTML 负载通过 Blob URL 在新浏览器标签页中打开 4. 诱饵页面显示虚假的司法通知（案件 FGN-2025-339804），带有动画进度条 5. 自动下载使用密码 `4JYTYJ7K` 加密的 AES ZIP 包，其中包含 `hi.exe` 6. `hi.exe`（ConfuserEx v1.0.1 混淆的 .NET 可执行文件）在运行时解密 C2 URL `http://1.2.3.4/payload` ## MITRE ATT&CK 技术 ### 样本 1 (11 项技术, 6 个战术) | ID | 技术 | 战术 | |----|-----------|--------| | T1566.001 | 钓鱼：鱼叉钓鱼附件 | 初始访问 | | T1204.002 | 用户执行：恶意文件 | 执行 | | T1059.005 | 命令和脚本解释器：VBA | 执行 | | T1497.003 | 沙箱逃避：基于时间 | 防御规避 | | T1106 | 原生 API | 执行 | | T1055 | 进程注入 | 防御规避 | | T1140 | 解除混淆/解码文件或信息 | 防御规避 | | T1082 | 系统信息发现 | 发现 | | T1105 | 入口工具传输 | 命令与控制 | | T1071.001 | 应用层协议：Web | 命令与控制 | | T1071.004 | 应用层协议：DNS | 命令与控制 | ### 样本 2 (10 项技术, 5 个战术) | ID | 技术 | 战术 | |----|-----------|--------| | T1566.001 | 钓鱼：鱼叉钓鱼附件 | 初始访问 | | T1204.002 | 用户执行：恶意文件 | 执行 | | T1059.007 | 命令和脚本解释器：JavaScript | 执行 | | T1027 | 混淆的文件或信息 | 防御规避 | | T1027.002 | 软件加壳 | 防御规避 | | T1140 | 解除混淆/解码文件或信息 | 防御规避 | | T1036.008 | 伪装：伪装文件类型 | 防御规避 | | T1105 | 入口工具传输 | 命令与控制 | | T1071.001 | 应用层协议：Web | 命令与控制 | | T1583.001 | 获取基础设施：域名 | 资源开发 | ## 使用工具 - **静态分析：** Detect It Easy v3.10, olevba (oletools 0.60.2), HxD, PEStudio 9.61, dnSpy v6.5.1, Python 3, 7-Zip - **动态分析：** FakeNet-NG, Wireshark, Process Monitor (ProcMon), Regshot, Google Chrome - **威胁情报：** cti-python-stix2 (STIX 2.1 包生成), YARA, MITRE ATT&CK Navigator - **分析环境：** AWS EC2 t3.large 上的 FlareVM (Windows Server 2016 x86_64) - **AI 助手：** Claude AI —— 用于 Python 脚本开发、报告结构化、不熟悉工具指导（dnSpy .NET 调试）以及生成 YARA 规则和 STIX 2.1 IoC 包的编码助手 ## 参考文献 - [MITRE ATT&CK](https://attack.mitre.org/) - [MITRE ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/) - [OASIS STIX 2.1 规范](https://docs.oasis-open.org/cti/stix/v2.1/stix-v2.1.html) - [YARA 文档](https://yara.readthedocs.io/) - [Mandiant FLARE VM](https://github.com/mandiant/flare-vm) - [dnSpy .NET 调试器](https://github.com/dnSpy/dnSpy) - [ConfuserEx .NET 混淆器](https://github.com/yck1509/ConfuserEx) - [L. Zeltser, "恶意软件分析报告中应包含哪些内容"](https://zeltser.com/malware-analysis-report)

标签：AMSI绕过, AWS EC2, C2通信, Cloudflare, ConfuserEx, DAST, DNS信息、DNS暴力破解, DNS 反向解析, docm, FlareVM, IP 地址批量处理, MITRE ATT&CK, .NET恶意软件, OPSWAT, STIX 2.1, SVG钓鱼, VBA宏, YARA规则, 云安全监控, 入侵指标, 多阶段下载器, 威胁情报, 威胁检测, 安全分析师面试, 开发者工具, 恶意宏文档, 恶意软件分析, 搜索语句（dork）, 网络信息收集, 网络威胁狩猎, 逆向工具, 静态分析