Emeka266-tech/malware-analysis-threat-intelligence-project

# 🛡️ 恶意软件分析与威胁情报项目 ## 📌 概述 本项目展示了一个作为网络安全实习任务一部分而进行的行为恶意软件分析。其目的是使用沙箱分析技术调查一个可疑文件，并提取有价值的威胁情报。 该分析侧重于识别恶意软件的行为、持久化机制、网络活动以及威胁指标（IOC）。 ## 🎯 目标 * 使用沙箱技术分析可疑文件 * 识别恶意软件类型和家族 * 调查进程、网络和文件活动 * 提取威胁指标（IOC） * 了解攻击策略和检测方法 ## ⚙️ 使用的工具 * ANY.RUN – 用于行为分析的交互式恶意软件沙箱 * Visual Studio Code – 文档和报告撰写 * Markdown → 导出为 PDF 以生成最终报告 ## 🔍 样本信息 * **SHA256:** `1adc29f30b30e301acefe1b46bbbd7a4f3a76c3708ab842199e95f8f5f053244` * **文件类型：** PE32 可执行文件 (.NET) * **架构：** x86 ## 🧠 关键发现 ### 🦠 恶意软件分类 * **类型：** InfoStealer 木马 * **家族：** Agent Tesla ### ⚙️ 行为摘要 * 作为独立的 `.exe` 文件执行 * 生成如下进程： * `schtasks.exe`（持久化） * `conhost.exe`（命令执行） * 与合法进程（例如 `svchost.exe`）交互以实现隐蔽 ### 🌐 网络活动 * 通过 HTTP/HTTPS 建立出站连接 * 与外部 IP 地址通信 * 使用 SMTP 基础设施进行潜在的数据窃取 ### 🧬 持久化机制 * 利用 `schtasks.exe` 创建计划任务 * 确保在系统重启后执行 ### 📁 文件活动 * 执行自： C:\Users\admin\AppData\Local\Temp\ * 使用常见的用户目录以逃避检测 ## 🚨 威胁指标（IOC） ### 🌐 域名 * ip-api.com * us2.smtp.mailhostbox.com ### 🌍 IP 地址 * 40.126.31.67 * 51.124.78.146 * 20.190.159.129 * 2.17.190.73 * 172.211.123.249 ### 🖥️ 主机指标 * 可疑进程：`schtasks.exe`，`conhost.exe` * 文件路径：`AppData\Local\Temp` ## 🎭 攻击策略 该恶意软件可能通过**网络钓鱼电子邮件或恶意下载**进行传播，依赖于用户交互来执行。一旦被激活，它就会窃取敏感数据并将其传输到受攻击者控制的基础设施。 ## 🛡️ 检测策略 安全分析师可以通过以下方式检测此威胁： * 监控异常的出站网络流量 * 识别可疑的进程执行 * 检测已知的恶意哈希值 * 观察异常的系统行为 ## 📄 报告 完整的分析报告已作为 PDF 文件提供在本存储库中。 ## 📌 核心要点 本项目突出了行为分析在了解恶意软件功能和制定有效检测策略方面的重要性。

标签：Agent Tesla, ANY.RUN, DAST, DNS 反向解析, DNS 解析, HTTP工具, IOC提取, meg, .NET恶意软件, OpenCanary, PE32可执行文件, SMTP数据外发, 信息安全, 信息窃密木马, 妥协指标, 威胁情报, 威胁评估, 安全报告, 开发者工具, 恶意文件检测, 恶意软件分析, 样本分析, 沙箱分析, 网络安全, 网络安全实习, 网络活动分析, 计划任务, 进程分析, 防御加固, 隐私保护