jorge-ruso/brickstorm-malware-analysis

# BRICKSTORM 后门 — 恶意软件分析报告      ## 概述 本仓库包含对 **BRICKSTORM** 的独立恶意软件分析，这是一种被中国国家资助的威胁组织 **UNC5221**（也称为 Warp Panda）用于针对政府、法律、SaaS 和科技组织的间谍活动的复杂跨平台后门。 分析基于 **CISA**、**NSA**、**Google Mandiant** 和 **NVISO** 的公开情报 — 所有来源均标记为 **TLP:CLEAR**。 ## 为何是 BRICKSTORM？ - **活跃行动** — 2024 年 4 月发现，截至 2026 年 2 月仍活跃 - **国家级水平** — 归因于 PRC APT 组织 UNC5221 - **平均驻留时间** — 检测前平均 393 天 - **多平台支持** — Linux（VMware vCenter/ESXi）、Windows、BSD - **官方文档记录** — CISA、NSA、Google 和加拿大网络安全中心均有记录 - **完整的 YARA + Sigma 规则可用** — 适合检测工程 ## 📁 仓库结构 ``` brickstorm-analysis/ ├── README.md ← You are here ├── report/ │ └── BRICKSTORM_Analysis_Report.md ← Full technical report ├── analysis/ │ ├── static/ │ │ └── static_analysis.md ← File metadata, strings, headers │ ├── behavioral/ │ │ └── behavioral_analysis.md ← Dynamic behavior, persistence, C2 │ └── network/ │ └── network_analysis.md ← C2 communications, traffic patterns ├── iocs/ │ ├── iocs.csv ← All IOCs in structured format │ ├── hashes.txt ← SHA256 hashes of known samples │ └── network_iocs.txt ← Domains, IPs, URLs ├── rules/ │ ├── yara/ │ │ └── brickstorm.yar ← YARA detection rules │ └── sigma/ │ └── brickstorm_sigma.yml ← Sigma rules for SIEM ├── docs/ │ ├── MITRE_ATTACK_mapping.md ← Full TTPs mapped to ATT&CK │ ├── threat_actor_profile.md ← UNC5221 actor profile │ └── references.md ← All sources and references └── assets/ └── attack_flow.md ← Attack chain diagram (ASCII) ``` ## 关键发现 | 类别 | 发现 | |------|------| | **恶意软件类型** | 持久化后门 + SOCKS 代理 + 凭证窃取器 | | **语言** | Go（原始样本） + Rust（较新变种） | | **目标平台** | VMware vCenter、ESXi、Windows、BSD 设备 | | **初始访问** | 边缘设备漏洞利用（Ivanti CVE-2023-46805、CVE-2024-21887） | | **平均驻留时间** | **393 天** 未被检测 | | **C2 混淆** | HTTPS + WebSockets + 嵌套 TLS + DNS-over-HTTPS | | **持久化** | 初始化脚本修改、自监视进程、服务劫持 | | **横向移动** | SOCKS 代理、使用有效凭证的 RDP、VM 快照窃取 | | **数据窃取** | VM 克隆用于凭证提取、ADFS 密钥导出 | | **归因** | UNC5221 / PRC 国家资助（CISA、Google GTIG、Mandiant） | ## MITRE ATT&CK 技术（摘要） | 战术 | 技术 | ID | |------|------|-----| | 初始访问 | 面向公共应用的攻击 | T1190 | | 持久化 | 引导/登录初始化脚本 | T1037 | | 持久化 | 服务器软件组件：Web Shell | T1505.003 | | 防御规避 | 伪装 | T1036 | | 防御规避 | 指标移除 | T1070 | | 凭证访问 | 操作系统凭证转储 | T1003 | | 横向移动 | 远程服务：RDP | T1021.001 | | 命令与控制 | 代理：多跳代理 | T1090.003 | | 命令与控制 | 加密通道：非对称加密 | T1573.002 | | 泄密 | 通过 C2 通道泄密 | T1041 | → 完整映射见 [`docs/MITRE_ATTACK_mapping.md`](docs/MITRE_ATTACK_mapping.md) ## 本分析中使用的工具 | 工具 | 用途 | |------|------| | VirusTotal | 哈希信誉、AV 检测率 | | ANY.RUN | 沙箱行为报告（公开会话） | | MalwareBazaar | 样本元数据查询 | | CISA YARA 规则 | 签名验证参考 | | MITRE ATT&CK Navigator | TTP 映射与可视化 | | Sigma 规则 | SIEM 检测逻辑分析 | ## 检测资源 - **YARA 规则** → [`rules/yara/brickstorm.yar`](rules/yara/brickstorm.yar) - **Sigma 规则** → [`rules/sigma/brickstorm_sigma.yml`](rules/sigma/brickstorm_sigma.yml) - **IOC 列表** → [`iocs/iocs.csv`](iocs/iocs.csv) ## 信息来源 所有分析均基于 **TLP:CLEAR** 公开情报： - [CISA MAR-251165 — BRICKSTORM 后门](https://www.cisa.gov/news-events/analysis-reports/ar25-338a)（2025 年 12 月 – 2026 年 2 月） - [Google GTIG — Another BRICKSTORM](https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign)（2025 年 9 月） - [NVISO — BRICKSTORM 间谍后门](https://www.nviso.eu/blog/nviso-analyzes-brickstorm-espionage-backdoor)（2025 年 4 月） - [Picus Security — UNC5221 TTPs](https://www.picussecurity.com/resource/blog/brickstorm-malware-unc5221)（2025 年 10 月） - [MITRE ATT&CK 框架](https://attack.mitre.org/) ## 作者 **jorge-ruso** | 准 SOC 分析员 | eSOC · eJPTv2 · Google 网络安全 [](https://linkedin.com/in/jorge-ruso) [](https://github.com/jorge-ruso) *本项目是我网络安全作品集的一部分，旨在展示威胁情报分析和恶意软件分析技能。

标签：2025年分析, BRICKSTORM, BSD后门, C2通信, CISA, DAST, DNS信息、DNS暴力破解, DNS通配符暴力破解, ESXi, Google Mandiant, Go语言, IOC, Linux后门, NSA, NVISO, Rust语言, Sigma规则, TLP:CLEAR, UNC5221, VMware vCenter, Warp Panda, Windows后门, YARA规则, 中国APT, 云安全监控, 可视化界面, 后门, 国家级威胁, 威胁情报, 开发者工具, 恶意软件分析, 日志审计, 目标导入, 程序破解, 系统分析, 网络分析, 网络取, 间谍活动, 静态分析