Danielnwachukwu/DarkComet-RAT-Malware-Analysis-Static-Behavioral-

# DarkComet-RAT-恶意软件-静态-行为分析 对 DarkComet RAT 的全面恶意软件分析，包括静态与行为分析、妥协指标 (IOCs)、MITRE ATT&CK 映射以及检测洞察。 # 🛡️ DarkComet RAT 恶意软件分析     ## 📌 概述 本项目展示了对从 MalwareBazaar 获取并使用 VirusTotal 进行分析的一个 **DarkComet 远程访问木马 (RAT)** 样本的完整**静态与行为分析**。 其目的是模拟 **SOC 分析师工作流**，包括： * 威胁识别 * 行为分析 * IOC 提取 * MITRE ATT&CK 映射 ## 🧪 样本信息 | 属性 | 值 | | -------------- | -------------------------------------------------------------------- | | 文件名称 | `hitclub.exe` | | 文件类型 | PE32 可执行文件 | | 大小 | ~757 KB | | SHA256 | `eafc56e985f24b31dc2f0d09c15497e25feca4e1e792d315648810d4e0fb7b55` | | 恶意软件家族 | DarkComet | | 检出率 | 58/61 | ## 🚨 威胁分类 * **类型：** 远程访问木马 (RAT) * **能力：** * 键盘记录 * 远程命令执行 * 持久化 * 数据窃取 ## 🔍 行为分析 ### 📁 文件活动 * 将自身释放至用户目录： C:\Users\Administrator\Documents\hitclub.exe C:\Users\user\Documents\hitclub.exe ### 🗂️ 持久化机制 * 注册表 Run 键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run\hitclub ### 🌐 网络活动 (C2) * 域名： hitclub.gr.com www.hitclub.gr.com ## 🧬 MITRE ATT&CK 映射 | 战术 | 技术 | ID | | -------------------- | -------------------- | --------- | | 执行 | 命令解释器 | T1059 | | 持久化 | 注册表 Run 键 | T1547.001 | | 防御规避 | 修改注册表 | T1112 | | 权限提升 | 创建新服务 | T1050 | ## 🎯 妥协指标 (IOCs) ### 文件 ``` hitclub.exe ``` ### 哈希 ``` eafc56e985f24b31dc2f0d09c15497e25feca4e1e792d315648810d4e0fb7b55 ``` ### 域名 ``` hitclub.gr.com www.hitclub.gr.com ``` ### 注册表 ``` HKCU\Software\Microsoft\Windows\CurrentVersion\Run\hitclub HKCU\Software\DC3_FEXEC ``` ## 🛡️ 检测与缓解 * 监控注册表自启动项 * 屏蔽恶意域名 * 限制从用户目录执行程序 * 使用具备行为检测能力的 EDR ## 🧠 核心要点 * 展示了经典的 RAT 持久化机制 * 使用简单但有效的 C2 通信 * 展示了真实攻击者的技术 ## 📷 截图 ## 👨‍💻 作者 Daniel Nwachukwu 网络安全分析师 (入门)

标签：Cloudflare, Conpot, DarkComet, DAST, HTTP工具, IOCs, MITRE ATT&CK, PE32, RAT, Windows安全, 云安全监控, 云资产清单, 动态行为分析, 嗅探欺骗, 失陷标示, 威胁情报, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 数据展示, 数据窃取, 暗网分析, 杀软检测, 权限维持, 红队, 网络安全, 网络安全审计, 远控木马, 逆向工程, 键盘记录, 隐私保护, 静态分析