towkictg/SikoMode-Malware-Analysis
GitHub: towkictg/SikoMode-Malware-Analysis
一个针对Nim编译木马的完整分析项目,包含基于Ghidra的自动化检测脚本和详细技术报告。
Stars: 0 | Forks: 0
# SikoMode-Malware-Analysis
# 基于Nim的木马高级分析与检测 (SikoMode)
**作者:** Tariqul Islam | Ehsan Karim
**课程:** INSE 6140 - 恶意软件防御与应用安全
**机构:** 康考迪亚大学
本仓库包含针对 **SikoMode** 恶意软件样本开发的分析与检测工具。该项目深入研究了其 Nim 编译结构、运行时 kill-switch 重建,以及使用 Ghidra 进行自动化检测。
## 📂 仓库内容
* **[Scripts/](./scripts):** 基于 Jython 的 Ghidra 检测脚本,用于识别 SikoMode 特征。
* **[Report/](./report):** 完整技术分析报告(PDF)。
* **[Video/](./video):** 分析与检测过程演示。
## 🛠 实验室搭建与环境配置
分析在安全、隔离的仅主机网络中进行,包含 **FlareVM**(受害机)和 **Kali Linux**(网关/服务模拟器)。
### 1. FlareVM 安装(Windows 10)
FlareVM 是用于恶意软件分析的 Windows 发行版。
* **前置条件:** 全新 Windows 10 虚拟机,至少 60GB 磁盘空间和 4GB 内存。
* **步骤 1:** 使用组策略或专用脚本永久禁用 Windows Defender 和篡改保护。
* **步骤 2:** 以管理员身份打开 PowerShell 并下载安装程序:
(New-Object net.webclient).DownloadFile('[https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1](https://raw.githubusercontent.com/mandiant/flare-vm/main/install.ps1)',"$([Environment]::GetFolderPath('Desktop'))\install.ps1")
* **步骤 3:** 解除锁定并执行脚本:
Unblock-File .\install.ps1
.\install.ps1
* **资源:** [官方 FlareVM 仓库](https://github.com/mandiant/flare-vm)
### 2. INetSim 安装与配置(Kali Linux)
INetSim 模拟常见的互联网服务(HTTP、DNS 等),诱使恶意软件执行其网络例程。
* **安装:**
sudo apt update
sudo apt install inetsim
* **配置:**
编辑配置文件:sudo nano /etc/inetsim/inetsim.conf
1. 将 service_bind_address 设置为您的 Kali IP(例如 10.0.0.5)。
2. 将 dns_default_ip 设置为您的 Kali IP,以将所有 DNS 查询重定向到本机。
* **运行:**
sudo inetsim
* **资源:** [官方 INetSim 文档](https://www.inetsim.org/documentation.html)
## 🔍 恶意软件关键发现
* **语言:** 采用 Nim 编译,增加了字符串分析的难度。
* **Kill-Switch:** 在运行时动态重建,用于检查域名 `update.ec12-4-109-278-3-ubuntu20-04.local`。
* **自删除:** 如果 kill-switch 或 C2 连接失败,会触发 houdini 函数。
* **数据窃取:** 使用 RC4 加密窃取 cosmo.jpeg,并通过 HTTP GET 请求外传。
## 🚀 如何使用检测脚本
1. 在 **Ghidra** 中打开恶意软件样本。
2. 打开 **脚本管理器**(Window -> Script Manager)。
3. 将本仓库的脚本添加到您的 Ghidra 脚本目录。
4. 运行脚本以自动标记 IOC 并识别恶意函数。
标签:AI合规, Concordia大学, Conpot, DAST, FlareVM, Ghidra, INetSim, INSE6140, Jython, Kill-switch分析, Nim恶意软件, SikoMode, URL提取, Windows安全, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 反编译, 威胁情报, 开发者工具, 恶意软件分析, 恶意软件防御, 沙盒环境, 漏洞分析, 网络仿真, 网络安全, 路径探测, 逆向工程, 隐私保护, 静态分析