DanielLeniz/Malware-Analysis

# 恶意软件分析实验室 构建了一个隔离的 Windows 恶意软件分析环境，使用静态分析和动态分析技术安全执行并调查可疑可执行文件。通过行为观察和取证工具识别了持久化机制、防御规避行为以及妥协指标（IOCs）。 ## 概述 分析了一个与 **Ramnit** 恶意软件家族相关的 Windows 恶意软件样本。该可执行文件表现出与 **加载器阶段特洛伊木马** 一致的行为，包括修改注册表、尝试创建进程、建立持久化以及削弱主机安全控制。 使用静态和动态分析技术来识别攻击者方法、持久化机制和妥协指标（IOCs）。分析结果表明，该恶意软件旨在网络连接可用时准备系统以交付或执行二级载荷。 ## 实验室环境 | 组件 | 用途 | |------|------| | Windows 虚拟机 | 隔离的恶意软件执行环境 | | VirtualBox | 虚拟化平台 | | 快照回滚 | 感染后恢复干净状态 | | 禁用外部网络访问 | 防止未控制的通信 | ## 使用的工具 ### 静态分析 - **Strings** – 识别可疑的 API 调用、注册表路径和文件引用 - **CFF Explorer** – 检查 PE 结构、导入项和导出函数 - **VirusTotal** – 哈希信誉和多引擎检测结果 - **Hybrid Analysis** – 行为沙箱分析 - **CAPE Sandbox** – 恶意软件分类和执行 artifacts 分析 ### 动态分析 - **x32dbg** – 观察运行时执行流程和进程活动 - **Process Explorer** – 监控执行后的运行进程 - **RegShot** – 比较执行前后的注册表和文件系统变更 - **AutoRuns** – 识别持久化机制 ## 关键发现 ### 恶意软件分类 - **家族：** Ramnit - **类型：** 蠕虫 / 特洛伊木马 - **架构：** 32 位 Windows 可移植可执行文件（PE32） - **可能角色：** 加载器阶段恶意软件，准备系统以接收二级载荷 ### 行为观察 #### 持久化机制 - 在用户可写目录中创建可执行文件 - 修改 Windows 启动文件夹条目 - 添加 Run 注册表键以便登录时执行 - 修改 Winlogon UserInit 注册表值 - 建立多个冗余的持久化机制 #### 防御规避技术 - 修改 Microsoft Defender 排除列表 - 尝试将常见 Windows 二进制文件排除在扫描之外 - 针对防病毒和防火墙注册表设置进行目标化 - 尝试通过 UAC 提示提升权限 #### 系统修改 - 在 AppData 和 Temp 目录中创建随机命名的可执行文件 - 执行期间生成额外进程 - 尝试修改注册表以实现持久化和安全绕过 - 表现出重复的 DNS 解析尝试 ## 妥协指标（IOCs） ### 文件 artifacts C:\Users\main\Desktop\sample.exe C:\Users\main\AppData\Local\smhxfexa\bsykpehn.exe C:\Users\main\AppData\Local\Temp\ruxiloco.exe C:\Users\main\AppData\Local\Temp\koqpwqnt.exe C:\Users\main\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bsykpehn.exe ### 注册表 artifacts HKCU\Software\Microsoft\Windows\CurrentVersion\Run\BsyKpehn HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Ruxluco HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Processes HKLM\SOFTWARE\Microsoft\Microsoft Antimalware\Exclusions\Extensions ### 可疑进程引用 svchost.exe rundll32.exe explorer.exe consent.exe spoolsv.exe ## 分析总结 静态分析揭示了与进程执行、内存分配和注册表持久化相关的 Windows API 函数的使用。导出的函数包括 `_ApplyExploit@4` 和 `_CheckBypassed@0`，这表明存在支持利用的功能。 动态分析确认了： - 进程执行活动 - 持久化 artifacts 的创建 - 尝试修改安全配置 - 与恶意软件 staging 行为一致的注册表变更 尽管成功创建了持久化机制，但重启后的分析未在内存中发现活跃的恶意进程。这很可能是因为恶意软件需要网络连接才能检索二级载荷，而在隔离的实验室环境中无法获得网络连接。 总体分析结果表明，该样本作为一个初始阶段加载器，旨在准备被妥协主机以执行后续载荷。

标签：APT, Ask搜索, AutoRuns, CAPE Sandbox, CFF Explorer, CSV导出, DAST, DNS 反向解析, DNS 解析, Hybrid Analysis, IOC, Process Explorer, Ramnit, RegShot, SecList, Strings, VirtualBox, VirusTotal, Windows 恶意软件, x32dbg, 云安全监控, 云资产清单, 内存取证, 加载器, 合规性检查, 安全控制, 快照回滚, 恶意软件分析, 持久化机制, 木马, 沙箱, 流量嗅探, 网络信息收集, 网络安全审计, 网络隔离, 虚拟机隔离, 行为观察, 逆向工程, 静态分析