FelpaUwU/Incident-response

# 🛡️ PowerShell RAT 恶意软件分析 ## 📌 概述 本项目记录了对一种被识别为远程访问木马（RAT）的恶意 PowerShell 脚本的分析。该恶意软件通过 VBScript 投放器执行，并使用混淆技术以逃避检测。 ## 🧠 目标 * 分析恶意 PowerShell 行为 * 识别命令与控制（C2）基础设施 * 在端点执行威胁狩猎 * 提取妥协指标（IOCs） ## 🔍 执行链 ``` wscript.exe ↓ malicious.vbs ↓ powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden ↓ malicious.ps1 (RAT) ↓ C2 Communication ``` ## 🔍 关键发现 * 使用 Base64 和 XOR 进行混淆 * 通过 PowerShell 执行并使用规避标志 * 与远程 C2 服务器进行 TCP 通信 * 具备完整的远程控制能力 ### 功能： * 远程命令执行 * 屏幕截图捕获 * 文件浏览与数据外传 * 载荷下载与执行 * 系统信息收集 ## 🌐 C2 基础设施 * 域名：`mastermrc2.kozow.com` ## 🛡️ 威胁狩猎 威胁狩猎使用了以下工具： * Microsoft Defender（KQL） * CrowdStrike Falcon（事件查询） 关注领域： * 域名通信 * PowerShell 执行模式 * 进程链（`wscript → powershell`） ## ⚠️ 免责声明 本仓库仅供教育和研究用途。 所有敏感数据均已脱敏。 ## 👨‍💻 作者 * 网络安全学生 | 蓝队与威胁狩猎

标签：AI合规, Assetfinder, Base64, C2通信, CrowdStrike, DAST, DNS 反向解析, EDR, HTTP工具, IOC提取, IP 地址批量处理, KQL, PowerShell RAT, PowerShell执行策略, TCP通信, VBScript, wscript, XOR, 云资产清单, 企业安全, 命令与控制, 域名, 子域, 屏幕截图, 恶意软件分析, 教育用途, 数据外传, 文件浏览, 混淆, 端点检测, 系统信息收集, 网络安全审计, 网络资产管理, 脆弱性评估, 脱壳, 远程命令执行, 逆向工程, 隐藏窗口