## 📑 目录 - [概述](#-overview) - [危险品清单](#-hazard-inventory) - [Web Shell 与后门](#-web-shells--backdoors) - [钓鱼与凭证窃取](#-phishing--credential-theft) - [漏洞利用与自动化](#-exploitation--automation) - [移动恶意软件 (APKs)](#-mobile-malware-apks) - [侦察与实用工具](#-reconnaissance--utility-tools) - [拒绝服务 (DoS) 与破坏性工具](#-denial-of-service-dos--destructive) - [MITRE ATT&CK 映射](#-mitre-attck-mapping) - [处理指南](#-handling-guidelines) ## 🔬 概述 **Malware-Hazard** 是一个经过整理的活跃威胁集合，为 **Threat Hunters（威胁猎手）、Incident Responders（DFIR 事件响应者）和 Malware Analysts（恶意软件分析师）** 提供全面的数据集。它重点关注对手用来获取初始访问权限、维持持久化、收集凭证以及跨多个平台执行后渗透利用活动的工具。 ## 🗄️ 危险品清单 ### 🐚 Web Shell 与后门 为未授权的远程命令执行、在被入侵服务器上维持持久化以及绕过上传过滤器而设计的脚本。 | 文件 | 环境 | 描述 | |---|---|---| | `0x.php` | PHP | 用于 LAMP 栈 RCE（远程代码执行）的混淆 PHP Shell。 | | `xa.php`, `yamate.php` | PHP | 用于执行系统命令的轻量级后门。 | | `up.php` | PHP | 用于投放第二阶段 payload 的分阶段上传器。 | | `gecko-mrgn.php` | PHP | 高级 PHP 后门/Shell 变体。 | | `options.php` / `options-deobfuscated.php` | PHP | 混淆的 Web Shell payload 及其用于分析的解混淆版本。 | | `sudo3rs - sample Makky-1.php` | PHP | 定制的 PHP Web Shell 脚本。 | | `cmd.aspx`, `aspxjpg.aspx` | ASP.NET | 针对 IIS 服务器的命令执行 Shell，包括多语言（polyglot）技术。 | ### 🎣 钓鱼与凭证窃取 用于欺骗目标、收集凭证或验证窃取数据的框架、脚本和归档文件。 | 文件 | 类型 | 描述 | |---|---|---| | `paypal.zip` | Archive | 完整的 PayPal 主题钓鱼套件登录页。 | | `spotify Panel.zip`| Archive | Spotify 主题凭证窃取仪表板。 | | `grab.html`, `zonegrab (2).zip` | HTML/JS/Archive | 本地化凭证抓取器和批量表单劫持脚本。 | | `sudo3rs - sample CC Checker AcTeam.rar` | Archive | 威胁行为者用来验证窃取的信用卡 (CC) 号码的工具。 | ### ⚔️ 漏洞利用与自动化 用于自动化访问、漏洞扫描和 payload 投递的攻击性工具。 | 文件 | 语言 | 描述 | |---|---|---| | `wpbf.py`, `sample sudo3rs wp.py` | Python | 自动化的 WordPress 凭证爆破和漏洞利用工具。 | | `sample sudo3rs 2021-21389.py` | Python | 针对 CVE-2021-21389 的特定漏洞利用脚本。 | | `sample sudo3rs cms.py` | Python | 针对各种内容管理系统 (CMS) 的自动化扫描和漏洞利用工具。 | | `sudo3rs - sample dirb.py` | Python | 定制的目录爆破和发现脚本。 | | `exp.py`, `checker.py` | Python | 通用漏洞利用投递、漏洞验证和批量扫描实用程序。 | | `sudo3rs - sample -XMLRPC (3).zip` | Archive | 针对 WordPress XML-RPC 漏洞进行放大攻击或爆破的工具。 | ### 📱 移动恶意软件 用于移动设备漏洞利用或作为木马化实用程序的可疑或恶意 Android 应用程序包。 | 文件 | 类型 | 描述 | |---|---|---| | `sudo3rs - sample File Manager_1.0.apk` | APK | 可能是木马化的文件管理应用程序。 | | `sample sudo3rs RemoDB_4.3.1.apk` | APK | 数据库客户端的修改版或恶意版本。 | | `sudo3rs - sample Xploit_Hunter.apk` | APK | 攻击性移动工具包或恶意软件包。 | ### 🕵️ 侦察与实用工具 用于攻击准备阶段以收集情报或生成操作数据的脚本和可执行文件。 | 文件 | 类型 | 描述 | |---|---|---| | `dorkgen.py`, `sample sudo3rs Darkfeyz Dork Maker & Scan.exe` | Python/PE | 自动化的 Google Dork 生成器和扫描工具，用于发现暴露的资产。 | | `sample sudo3rs Hash Identifier.py` | Python | 用于在密码破解过程中识别加密算法和哈希类型的实用程序。 | | `sudo3rs - sample uProxy Tool.zip` | Archive | 用于匿名化恶意流量的代理管理工具。 | | `passgen.html`, `pathgen.html` | HTML/JS | 用于生成字典或潜在攻击路径的客户端实用程序。 | ### 💥 拒绝服务 与破坏性工具 旨在破坏服务或拒绝系统访问的脚本。 | 文件 | 语言 | 描述 | |---|---|---| | `sample sudo3rs flooder.js` | JavaScript | 旨在用网络流量淹没端点的脚本。 | | `sudo3rs - samplexlamper-bom.js` | JavaScript | 潜在的 SMS/Email 炸弹或应用层 DoS 脚本。 | | `sudo3rs - sample lock.sh` | Bash | 可疑的 Shell 脚本，可能是锁定程序或基础的 Linux 勒索软件 payload。 | ## 🎯 MITRE ATT&CK® 映射 本仓库涵盖以下对抗技术，为检测工程提供有价值的上下文： * **[T1190]** Exploit Public-Facing Application（利用面向公众的应用程序）（`exp.py`, `checker.py`, `2021-21389.py`） * **[T1110]** Brute Force（暴力破解）（`wpbf.py`, `dirb.py`, XML-RPC tools） * **[T1505.003]** Server Software Component: Web Shell（服务器软件组件：Web Shell）（`0x.php`, `options.php`, `cmd.aspx` 等） * **[T1556]** Modify Authentication Process（修改认证过程）（`grab.html`, Phishing Kits） * **[T1596]** Search Open Technical Databases（搜索开放技术数据库）（`dorkgen.py`, `Darkfeyz Dork Maker`） * **[T1498]** Network Denial of Service（网络拒绝服务）（`flooder.js`, `xlamper-bom.js`） * **[T1059]** Command and Scripting Interpreter（命令和脚本解释器）（后渗透利用执行） ## 🛡️ 处理指南 为了安全地处理这些样本： 1. **隔离：** 使用专用的分析虚拟机（例如 REMnux, FLARE-VM），并配置为 Host-Only 网络模式。不要在 Genymotion 或 Android Studio AVH 等模拟器之外执行移动 payload (APKs)。 2. **解混淆：** 这些脚本中有许多使用了 base64 编码、rot13 或自定义加密例程，需要通过静态分析进行解包。请参考 `options-deobfuscated.php` 作为示例。 3. **防御工程：** 使用这些样本编写自定义的 **YARA 规则**、Sigma 规则、Snort 签名，或用于测试 EDR 配置。

标签：APK分析, Assetfinder, CISA项目, DNS 反向解析, DoS, Exploit, Go语言工具, HTTP工具, IP 地址批量处理, Phishing Kit, Web Shell, Webshells, Web安全, 云资产清单, 凭据窃取, 初始访问, 后门, 多模态安全, 威胁情报, 库, 应急响应, 应用安全, 开发者工具, 恶意代码, 恶意软件, 拒绝服务, 数据可视化, 数据展示, 样本分析, 漏洞复现, 目录枚举, 移动安全, 红队, 网络信息收集, 网络安全, 蓝队分析, 逆向工具, 逆向工程, 配置错误, 隐私保护