zhaohuanjiestudent-wq/Malware-Analysis-Dustman-2026

# Dustman 恶意软件高级样本分析 ## 项目概述 这是一个对复杂模块化破坏性恶意软件 **Dustman** 的完整逆向工程分析项目。Dustman 主要于2019年前后在活跃，以其利用合法签名驱动绕过安全机制并执行底层磁盘擦除而著称。 本仓库包含本次分析产出的**完整技术报告**、**关键发现总结**以及相关的**威胁指标(IoC)**。通过本项目，我系统性地实践了从静态逆向、动态调试到行为分析、威胁评估的恶意软件分析全流程。 ## 技术亮点与核心发现 本次分析深入探究了 Dustman 高度模块化和规避性强的攻击链，主要发现包括： 1. **驱动签名滥用 (Driver Signature Abuse)**： * 样本利用带有合法 `innotek GmbH`（VirtualBox）数字签名的旧版驱动 `assistant.sys`（实为 `vboxdrv.sys`）作为“跳板”。 * 该“合法”驱动在内存中加载未签名的恶意驱动 `elrawdsk.sys`，从而**完全绕过了 64 位 Windows 系统的驱动签名强制 (DSE) 验证**。这是高级持续性威胁(APT)中常见的核心规避技术。 2. **清晰的模块化攻击链**： * **加载器 (`dustman.exe`)**：用户态控制台程序，负责部署驱动、创建服务、协调攻击各阶段。 * **签名跳板驱动 (`assistant.sys`)**：拥有合法签名的“木马”驱动，核心作用是加载未签名恶意驱动。 * **恶意功能驱动 (`elrawdsk.sys`)**：未签名内核驱动，具备原始磁盘访问、进程内存操纵等高风险能力，是执行破坏的关键。 * **擦除器 (`agent.exe`)**：用户态程序，负责文件遍历、覆盖，并与内核驱动协同完成数据破坏。 * 攻击流程为：`dustman.exe` → 加载 `assistant.sys` → 利用其加载 `elrawdsk.sys` → 释放并触发 `agent.exe` → 实现数据擦除。 3. **高级反分析与持久化技术**： * 组件具备反调试检查（如 `IsDebuggerPresent`）。 * 通过创建 Windows 服务 (`VBoxDrv`) 实现持久化。 * 最终负载尝试伪装成系统进程 (`SearchIndexer.exe`) 以增强隐蔽性。 ## 报告中包含的详细内容 - **静态分析**：文件结构、导入函数分析、使用 Ghidra 对核心函数（`CreateServiceW`, `DeviceIoControl`, `CreateProcessA` 等）的逆向工程、数字签名验证。 - **动态分析**：使用 x64dbg 进行调试，使用 Process Monitor/Process Explorer 监控进程、文件、注册表行为，并记录了攻击链在现代化系统上因环境依赖而中断的实际情况。 - **完整的攻击链复原**：详细阐述了四组件如何协同工作。 - **影响与危害评估**：评估了该样本的破坏性、针对性和技术先进性。 - **专业的缓解与检测建议**：从预防、检测、响应三方面提供了具体、可操作的安全建议。 ## 仓库结构 Dustman-Malware-Analysis/ ├── README.md # 本文件 ├── Reports/ │ └── Dustman_Analysis_Report.pdf # 详细技术分析报告 (核心产出) └── IOCs/ # 威胁指标 └── iocs.txt # 文件哈希、服务名等威胁指标 ## 如何参考本报告 1. **安全研究人员**：可参考其攻击手法（特别是驱动签名滥用）和检测建议。 2. **蓝队防御人员**：可直接使用 `IOCs` 目录中的指标进行威胁狩猎，或根据报告中的行为特征编写检测规则。 3. **初学者**：可作为一个学习复杂恶意软件分析方法和报告撰写的参考案例。 ## 关于分析者 本人是一名专注于网络安全的技术研究者，对恶意软件分析、逆向工程与系统安全有浓厚兴趣。本项目是我为深化技术理解、实践完整分析流程而完成的个人研究。 **联系**：您可以通过 GitHub Issues 或 [zhao_huanjie@163.com] 与我进行专业交流。 *本分析在受控的隔离虚拟机环境中完成，严格遵守安全研究伦理。*

标签：APT, Conpot, DAST, DOM解析, DSE绕过, Dustman, IoC, OpenCanary, Rootkit, Web报告查看器, Windows安全, Zeek, 云安全监控, 云资产清单, 内核驱动, 反调试, 威胁情报, 安全报告, 安全防护, 开发者工具, 恶意软件分析, 攻击链, 数字签名滥用, 数据包嗅探, 样本分析, 破坏性软件, 磁盘擦除器, 网络协议, 网络安全, 逆向工程, 隐私保护, 静态分析, 驱动签名绕过