DW-Investigations/xlmrat-malware-analysis

# xlmrat-malware-analysis 网络取证与基于混淆的 XLM 宏攻击分析（XLMRat） XLMRat 恶意软件分析（网络取证案例研究） ## 概述 本项目展示了对网络流量中识别出的恶意载荷进行的取证分析。分析基于 PCAP 文件进行，以确定攻击向量、载荷传递机制以及妥协后的行为。 ## 使用的工具 Wireshark CyberChef VirusTotal CyberDefenders ## 调查总结 识别到指向外部主机 45.126.209.4:222 的可疑 HTTP 流量 检测到通过伪装成图像文件的 mdm.jpg 传递恶意软件 使用 CyberChef 提取并解码了十六进制编码的载荷 确认了嵌入的 PE 文件（MZ 头）的存在 分析了利用反射式内存执行的混淆脚本 识别通过计划任务（“Update Edge”）实现的持久化 ## 识别技术 混淆（十六进制编码、字符串操作） 文件伪装 反射式代码加载（内存执行） 利用合法工具（RegSvcs.exe）的“ living-off-the-land ”滥用 计划任务持久化 ## 妥协指标（IOCs） IP地址：45.126.209.4 URL：http://45.126.209.4:222/mdm.jpg 创建的文件： C:\Users\Public\Conted.ps1 Conted.bat Conted.vbs

标签：Ask搜索, CyberChef, CyberDefenders, DAST, DNS 反向解析, DNS 解析, HTTP通信, IOC, IP 地址批量处理, PCAP分析, RegSvcs.exe, VirusTotal, Wireshark, XLMRat, XLM宏攻击, 代理, 十六进制编码, 反射式加载, 句柄查看, 命令与控制, 字符串操作, 恶意软件分析, 指标妥协, 文件伪装, 无文件攻击, 混淆, 网络信息收集, 网络流量分析, 计划任务, 边缘交付, 镜像加载