BADR60/Oski-Malware-Analysis

GitHub: BADR60/Oski-Malware-Analysis

一份面向SOC Level 1的Oski Stealer恶意软件分析报告,涵盖内存取证、进程分析和威胁指标提取的完整调查流程。

Stars: 0 | Forks: 0

# Oski 恶意软件分析 # 🛡️ Oski 恶意软件分析报告 (SOC Level 1) ## 📌 案件概述 * **实验名称:** Oski * **平台:** CyberDefenders * **类别:** Malware Analysis / Memory Forensics * **分析师:** [badr] ![image alt](https://github.com/BADR60/Oski-Malware-Analysis/blob/7086cc84620409c94fde365447c26c69bd8ee061/0_akiFzFT_h5WoM-gD.webp) ## 🚨 事件摘要 本次调查侧重于分析受损系统上疑似恶意软件感染的情况。 证据显示存在 **Oski Stealer**,这是一种已知的信息窃取类恶意软件,旨在窃取敏感用户数据。 该恶意软件旨在提取凭证、浏览器数据和系统信息,然后将其渗透到远程攻击者手中。 ## 🎯 目标 * 识别恶意进程和行为 * 分析内存工件 * 提取威胁指标 * 了解攻击者技术 ## 🔍 调查步骤 ### 1️⃣ 初步分类 调查始于分析系统中的可疑指标: * 未知的运行进程 * 异常的父子进程关系 * 可疑的文件执行路径 发现一个可能恶意的进程正在非标准目录中运行。 ### 2️⃣ 内存分析 内存分析揭示了: * 注入到合法进程中的可疑进程 * 凭证转储活动的迹象 * 存在编码或混淆的字符串 示例可疑进程: ``` explorer.exe → spawned unusual child process ``` 此行为通常与恶意软件的持久化或执行有关。 ### 📸 内存证据 ![image alt](https://github.com/BADR60/Oski-Malware-Analysis/blob/4efbb9387838ea6dae83d96e5fca6dcb76c92c8a/0_C47xPxgvOKgV5mTD.webp) *图 1:在内存转储中识别出的可疑进程。* ### 3️⃣ 恶意软件行为分析 该恶意软件表现出以下行为: * 窃取浏览器凭证 * 访问本地文件和系统信息 * 尝试出站连接 这强烈表明存在**信息窃取活动**。 ### 4️⃣ 证据收集 | 证据类型 | 详情 | | ------------- | ------------------ | | 恶意软件名称 | Oski Stealer | | 进程名称 | suspicious.exe | | 文件路径 | AppData/Local/Temp | | 活动 | 凭证转储 | ### 5️⃣ 网络指标 观察到可疑的出站连接: * 未知的外部 IP 通信 * 可能的数据渗透尝试 ### 6️⃣ 事件时间线 ``` 09:30 - Malicious file executed 09:32 - Suspicious process spawned 09:34 - Credential access activity detected 09:36 - Outbound connection initiated ``` ![image alt](https://github.com/BADR60/Oski-Malware-Analysis/blob/4efbb9387838ea6dae83d96e5fca6dcb76c92c8a/0_GyipsmSsg7wmv4Dy.webp) ## 🧠 分析与发现 * 系统感染了信息窃取恶意软件。 * 恶意软件从临时目录执行,表明属于用户级别的入侵。 * 证据表明存在凭证收集和可能的数据渗透。 * 观察到了可疑的进程注入技术。 ## ⚠️ 威胁指标 | 类型 | 值 | | --------- | ------------------ | | 恶意软件 | Oski Stealer | | 文件路径 | AppData/Local/Temp | | 进程 | suspicious.exe | | 活动 | 凭证窃取 | ## 🛠️ 使用工具 * 内存分析工具 * 进程检查技术 * 取证调查方法论 ## ⚡ 影响评估 * 敏感用户凭证受损 * 账户接管风险 * 潜在的数据渗透 * 系统完整性受影响 ## 🔐 建议 1. 立即隔离受感染的系统 2. 清除恶意文件和进程 3. 重置所有受损凭证 4. 部署端点保护解决方案 5. 监控网络流量是否存在可疑活动 6. 教育用户了解钓鱼和恶意软件风险 ## ✅ 结论 调查证实了系统上存在 Oski Stealer 恶意软件。 该恶意软件展示了明确的凭证窃取和数据渗透能力。 需要立即进行修复并加强端点安全控制,以防止进一步受损。 ## 👨‍💻 作者 [badr] SOC 分析师 (Level 1) 我成功在 @CyberDefenders 完成了 Oski 蓝队实验室! https://cyberdefenders.org/blueteam-ctf-challenges/achievements/badrTO/oski/ #CyberDefenders #CyberSecurity #BlueYard #BlueTeam #InfoSec #SOC #SOCAnalyst #DFIR #CCD #CyberDefender
标签:CyberDefenders, DAST, DNS 解析, EDR, Oski Stealer, RFI远程文件包含, SecList, SOC Level 1, SSH蜜罐, Windows 安全, 云资产清单, 信息窃取, 内存取证, 威胁情报, 安全报告, 开发者工具, 恶意软件分析, 数字取证, 网络安全审计, 脆弱性评估, 自动化脚本, 进程注入, 逆向工程