WiLL75G/soc-day07-malware-analysis-threat-hunting

# 第 07 天 – SOC 一级事件报告：恶意软件分析与威胁狩猎 ## 事件摘要 - **事件类型：** 可疑文件检测与恶意软件分类 - **严重程度：** 高（样本已确认为恶意） - **检测方法：** 静态哈希分析 + 沙箱交叉验证 + 主机威胁狩猎 - **使用工具：** VirusTotal, Hybrid Analysis, Kali Linux, `md5sum`, `sha256sum`, `ps aux`, `ss`, `netstat` - **状态：** 受调查主机已确认安全（模拟 SOC 环境） ## 执行摘要 本次调查模拟了一次完整的 SOC 一级恶意软件分类工作流，该工作流是在终端发出有关可疑文件的警报后启动的。本次分析仅采用了静态方法——该样本从未在主机上执行过。 文件通过哈希值进行识别，并提交至两个独立的威胁情报平台进行交叉验证，同时对主机进行了主动的威胁狩猎以确认未发生任何入侵。调查结果、IOCs 和分析人员的建议均已记录在结构化报告中。 ## 受影响系统 - **操作系统：** Kali Linux（分析员工作站 / 隔离的实验虚拟机） - **受调查样本：** EICAR 测试文件（行业标准防病毒测试签名） - **用户上下文：** Root - **数据源：** - VirusTotal（多引擎防病毒判定结果） - Hybrid Analysis（沙箱行为分析） - 本地文件哈希工具 - 主机进程与网络遥测数据 ## 调查方法论 ### 1. 分析策略与哈希获取  - 选择静态分析作为主要方法，以避免样本被触发执行 - 获取用于提交的样本 MD5 哈希值：`44d88612fea8a8f36de82e1278abb02f` - 确认分析方法符合 SOC 一级最佳实践 ### SOC 观察记录： - 静态分析必须始终先于动态执行进行 - 基于哈希的识别方式可降低对主机和实验环境的风险 - 文件完整性验证是恶意软件分类的基础 ## 威胁情报验证 ### 2. VirusTotal 哈希提交  - 通过搜索界面向 VirusTotal 提交 MD5 哈希值 - 检索文件元数据、首次发现日期及已知签名 - 核实文件类型和防病毒引擎覆盖范围 ### SOC 观察记录： - VirusTotal 汇集了 60 多个防病毒引擎，可提供高置信度的判定结果 - 基于哈希的查询会返回历史检测数据 - 多引擎共识是已知恶意软件的强烈指标 ### 3. VirusTotal 检测分析  - 返回的检测率：**67 个引擎中有 65 个将该文件标记为恶意** - 文件被归类为行业标准防病毒测试签名 - 未发现任何规避或混淆技术 ### SOC 观察记录： - 超过 50% 的检测率表明其为高置信度的恶意分类 - 防病毒引擎共识降低了误报风险 - 单凭判定结果是不够的，还需要进行沙箱交叉验证 ### 4. Hybrid Analysis 沙箱审查  - 将哈希值提交至 Hybrid Analysis 进行行为交叉验证 - 返回的威胁评分：**100/100 恶意** - 防病毒检测率确认为 85% - 审查了网络连接和释放文件指标 ### SOC 观察记录： - 跨两个平台进行交叉验证是标准的 SOC 实践 - 行为沙箱能够捕获静态引擎可能遗漏的威胁 - 跨平台的一致判定结果可提高上报决策的置信度 ## 本地哈希验证 ### 5. Kali 上的本地文件哈希校验  - 生成本地测试文件的 MD5 和 SHA256 哈希值 - 练习分析员进行文件完整性验证的工作流 - 记录哈希输出以备保管链参考 ``` MD5 : ceae5c0b9acb05dc06296ca60120be84 SHA256 : 03722f2733c09a492403d2471ee3c52f5e7f982f5ee0b8ed0b428550380dd1fe ``` ### SOC 观察记录： - 本地哈希校验可在提交前确认文件完整性 - 由于加密强度更高，SHA256 优于 MD5 - 预期值与实际值之间的哈希不匹配表明文件可能被篡改 ## 主机威胁狩猎 ### 6. 进程检查  - 执行 `ps aux` 以枚举所有正在运行的进程 - 审查父子进程关系 - 确认不存在可疑或未知的二进制文件 ### SOC 观察记录： - 进程检查是入侵评估的第一步 - 未知或未签名的进程需要立即进行调查 - 分析员工作站上未检测到异常进程 ### 7. 网络连接分析  - 执行 `ss -tulpn` 以枚举监听端口和活动套接字 - 与 `netstat -an | grep ESTABLISHED` 交叉验证 - 核实不存在未经授权的出站连接 ### SOC 观察记录： - 意外的出站连接表明可能存在 C2 通信 - 监听服务应与预期的基线进行交叉比对 - 威胁狩猎期间未观察到可疑的网络活动 ### 8. 临时目录检查  - 审查 `/tmp` 和 `/var/tmp` 中是否存在被释放的文件或暂存工件 - 确认状态干净——不存在意外的 Payload - 记录调查结果以结案 ### SOC 观察记录： - 临时目录是常见的恶意软件暂存位置 - 临时路径中最近修改过的文件需要深入检查 - 干净的临时目录支持得出未受入侵的结论 ## 调查文档 ### 9. 分析员报告生成  - 将调查结果汇编成结构化的恶意软件分析报告 - 记录哈希值、判定结果、IOCs 及威胁狩猎结果 - 归档报告以供 SOC 存档和升级参考 ### SOC 观察记录： - 结构化报告可确保一致的升级和交接 - 即使是判定结果为安全的案例，文档记录也能闭环调查流程 - 报告是事件审查和审计的主要工件 ## 入侵指标 (IOCs) | 类型 | 值 | 来源 | |------|-------|--------| | MD5 哈希 | `44d88612fea8a8f36de82e1278abb02f` | VirusTotal | | 分类 | EICAR 测试签名 | Hybrid Analysis | | 防病毒检测率 | 65/67 引擎 | VirusTotal | | 威胁评分 | 100/100 | Hybrid Analysis | | 防病毒检测率 | 85% | Hybrid Analysis | ## MITRE ATT&CK 映射 | 行为 | 技术 ID | 描述 | |------------------------------|--------------|------------------------------------------------| | 伪装 | T1036 | 文件进行伪装以规避检测 | | 文件与目录发现 | T1083 | 威胁狩猎期间枚举临时目录 | | 来自本地系统的数据 | T1005 | 提取并提交哈希值进行分析 | | 系统信息发现 | T1082 | 枚举主机进程和网络状态 | | 指标移除 | T1070 | 验证没有留下任何工件 | ## SOC 分析员调查结果 - 两个独立平台均高置信度地确认样本为恶意 - VirusTotal 返回 65/67 的检测率——普遍的防病毒引擎共识 - Hybrid Analysis 威胁评分返回最大值 (100/100) - 主机威胁狩猎未发现任何入侵指标 - 未检测到可疑进程、网络连接或已暂存的 Payload - 该样本从未在主机环境中执行过 ## SOC 分析员响应 - 将可疑文件哈希提交至 VirusTotal 进行验证作为首要分类步骤 - 使用 Hybrid Analysis 或其他备选沙箱平台交叉验证判定结果 - 在收到任何与恶意软件相关的警报后，对主机端进行威胁狩猎 - 保持分析员工作站与触发执行环境之间的隔离 - 将调查结果（包括判定为安全的结果）记录在结构化分析员报告中 - 仅在检测到主机端 IOCs 时才升级至二级 - 在 EDR/AV 层面对已确认的 IOCs 实施文件哈希黑名单拦截 ## 分析员心得 静态分析仍然是恶意软件分类中最安全、最高效的第一道防线。通过在执行任何操作之前对文件进行哈希处理并在多个威胁情报平台上进行验证，分析员可以在对主机零风险的情况下确认其恶意意图。交叉验证提高了判定结果的可信度，而主机端的威胁狩猎（即使返回安全的结果）对于充满信心地闭环调查流程也是至关重要的。 ## 学习成果 本次调查展示了以下能力： - 区分静态和动态恶意软件分析方法论 - 使用基于哈希的威胁情报识别恶意文件 - 操作 VirusTotal 聚合多引擎防病毒判定结果 - 使用 Hybrid Analysis 沙箱报告交叉验证调查结果 - 使用 `md5sum` 和 `sha256sum` 生成并验证文件哈希 - 将恶意软件归类为 SOC 分类中使用的核心类别 - 在 Linux 上使用 `ps aux`、`ss` 和 `netstat` 进行主机端威胁狩猎 - 检查临时目录以查找暂存或持久化工件 - 生成结构化分析员报告以供 SOC 文档记录和升级 - 将 MITRE ATT&CK 框架应用于恶意软件分类工作流 ## 仓库结构 ``` malware-analysis-threat-hunting-lab/ ├── README.md ├── day7-malware-analysis.txt ├── malware-analysis-report.txt └── screenshots/ ├── hash_acquisition.png ├── virustotal_search.png ├── vt_detection.png ├── hybrid_analysis.png ├── local_hashing.png ├── process_monitoring.png ├── network_connections.png ├── tmp_file_check.png └── analyst_report.png ``` ## 结论 本次调查模拟了一个完整的恶意软件分类工作流，从初始警报到最终报告。可疑样本通过两个独立的威胁情报平台被确认为恶意，主机环境通过主动的威胁狩猎被验证为安全，所有发现均记录在结构化分析员报告中，展示了从检测到结案的完整一级分析员工作流。

标签：Ask搜索, DAST, EICAR测试文件, Hybrid Analysis, IOCs, md5sum, Tier 1分析师, VirusTotal, 云安全监控, 哈希校验, 威胁情报, 安全报告, 安全攻防, 安全运营中心, 开发者工具, 恶意样本检测, 恶意软件分析, 无线安全, 沙箱分析, 端点安全, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 补丁管理, 隐私保护, 静态分析