jamal-soc21/malware-analysis--004--AgentTesla

# AgentTesla 调查报告 ## 概述 本项目分析了一个 AgentTesla 家族的恶意软件样本，该样本被归类为特洛伊木马投放器（Trojan Dropper）。该样本被多个厂商检测到，并表现出凭据窃取和投递其他恶意负载的行为。 ## 关键点 - **样本 SHA256**：ed830693d6acceaed1b28c11e2a864e85dd1b53400d207efc16bb4b1d468671e - **分类**：特洛伊木马投放器（AgentTesla） - **检测**：在 VirusTotal 上 48/72 个厂商标记 - **行为**：通过原生 API 执行、通过注册表修改实现持久化、权限提升、防御规避、凭据访问、发现、数据收集以及命令与控制（C2） - **框架映射**：技术与 MITRE ATT&CK 框架中的多个战术相关联 ## 结论 该恶意软件展示了典型的 AgentTesla 能力，结合了凭据窃取与投放器功能。其行为与 MITRE ATT&CK 框架中标准的对抗技术一致。

标签：AgentTesla, APT, Ask搜索, Cloudflare, DAST, DNS 解析, EDR, IP 地址批量处理, MITRE ATT&CK, SHA256, VirusTotal, 协议分析, 命令与控制, 威胁情报, 开发者工具, 恶意软件分析, 恶意载荷投递, 数据包嗅探, 无线安全, 木马投放器, 权限提升, 样本分析, 注册表修改, 特洛伊木马, 私有化部署, 网络安全审计, 脆弱性评估, 逆向工具, 防御规避