adititrikha/Malware-Threat-analysis

# 恶意软件威胁分析 恶意软件威胁分析项目主要侧重于在隔离的虚拟实验室环境中，使用静态与动态恶意软件分析技术、Sysmon、Splunk SIEM、YARA、Ghidra、Procmon 以及 MITRE ATT&CK 映射来进行检测、调查和缓解。 # 恶意软件威胁分析（检测、调查与缓解） ## 项目概述 本项目侧重于使用静态和动态分析技术进行恶意软件威胁分析。项目的目标是在隔离的虚拟实验室环境中安全地检测、调查、分析和缓解恶意软件行为。 该项目演示了现代恶意软件的行为方式、分析师如何调查可疑文件，以及如何提取失陷指标 以用于网络安全事件响应。 # 目标 - 使用虚拟化技术构建安全的恶意软件分析实验室 - 执行静态恶意软件分析 - 执行动态行为分析 - 使用安全工具监控恶意软件活动 - 提取失陷指标 - 使用 MITRE ATT&CK 框架映射攻击行为 - 了解恶意软件检测与缓解技术 # 使用的技术与工具 ## 操作系统 - Windows 10 虚拟机 - Kali Linux 虚拟机 ## 安全工具 - Sysmon - Process Monitor (Procmon) - Process Explorer - Autoruns - Wireshark - Splunk Enterprise - Splunk Universal Forwarder - Detect It Easy (DIE) - PE-Bear - FLOSS - CyberChef - YARA - Ghidra - Volatility 3 - Notepad++ # 方法论 ## 静态分析 在不执行恶意软件样本的情况下进行了静态分析。 包括的步骤有： - 文件哈希计算 (SHA-256) - VirusTotal 哈希值查询 - 字符串提取 - PE 文件分类分析 - 加壳二进制文件检测 - VBA 宏分析 - 脚本去混淆 - YARA 规则创建 - 使用 Ghidra 进行逆向工程 ## 动态分析 在隔离环境中进行了动态分析。 包括的活动有： - 恶意软件执行监控 - 进程行为分析 - 注册表监控 - 文件活动监控 - PowerShell 执行追踪 - 临时 Payload 提取 - 多阶段恶意软件行为分析 - IOC 提取 # 实验室环境 ## Windows 10 虚拟机 用作恶意软件分析机。 ## Kali Linux 虚拟机 用于： - Splunk SIEM - 网络分析 - 安全监控 ## 网络配置 - 仅主机隔离网络 - 启用快照的虚拟机 - 用于安全恶意软件模拟的受控环境 # 核心特性 - 安全的恶意软件分析工作流 - 使用 SIEM 进行检测工程 - MITRE ATT&CK 映射 - IOC 提取 - 恶意软件行为分析 - 静态和动态分析对比 - 使用 Sysmon 和 Splunk 进行安全监控 # 项目成果 - 成功分析了模拟的恶意软件行为 - 检测到可疑的 PowerShell 执行 - 观察到临时文件创建 - 识别了分阶段 Payload 执行 - 捕获了进程和注册表活动 - 提取了失陷指标 - 增强了对恶意软件调查工作流的理解 # 未来展望 - 高级逆向工程 - 自动化沙箱集成 - 高级内存取证 - 基于机器学习的恶意软件检测 - 紫队攻击模拟 # 总结 本项目展示了行为恶意软件分析在现代网络安全中的重要性。传统的防病毒解决方案不足以检测高级威胁和“靠山吃山”（LotL）攻击。 该项目提供了对安全运营中心 (SOC) 和事件响应团队所使用的恶意软件检测、调查、监控和缓解技术的实践理解。 # 作者 - Aditi Trikha # 所在机构 印多尔 Medicaps 大学 信息技术系 学术项目

标签：AI合规, ATT&CK映射, Conpot, DAST, DNS信息、DNS暴力破解, DNS 反向解析, Ghidra, HTTP工具, IOCs提取, IP 地址批量处理, PE文件分析, Procmon, Splunk SIEM, Sysmon, Volatility 3, Windows安全, Wireshark, YARA规则, 云安全监控, 云资产清单, 句柄查看, 威胁情报, 子域名变形, 安全实验室, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 情报收集, 扫描框架, 数字取证, 沙箱分析, 漏洞研究, 红队与蓝队, 网络信息收集, 网络安全, 网络安全审计, 自动化脚本, 行为监控, 逆向工程, 速率限制处理, 隐私保护, 静态分析