Nakul2004/malware-threat-analysis

# 恶意软件威胁分析 使用 PEStudio, Ghidra, ProcMon, Wireshark 和 Splunk SIEM 对真实恶意软件样本进行静态和动态分析。包含 Discord Token Stealer 调查及完整的 MITRE ATT&CK 映射。 # 恶意软件威胁分析 ## 概述 针对真实环境中的 Discord Token Stealer 进行的端到端恶意软件分析 该样本通过 VBScript-to-EXE 包装器（PureBasic + Vbs To Exe 2.0.2.0）进行投递。 本次分析遵循结构化的 19 步方法论，涵盖了静态分析（步骤 1–10）和动态行为分析（步骤 11–19）。 ## 样本详情 | Property | Value | |-----------------|-------------------------------| | Filename | wrapped_1.exe | | File Type | PE64 (PureBasic compiled) | | Protector | Vbs To Exe 2.0.2.0 | | Malware Type | Discord Token Stealer + Dropper| | MITRE Coverage | 12 ATT&CK Techniques | ## 发现的攻击链 wrapped_1.exe → 提取 Token.bat → 组装 bnt.ps1（通过 cmd echo >> 逐行写入）→ 从 23 个浏览器路径窃取 Discord token → 通过 Discord Webhook API 外传数据 → 自我删除所有痕迹文件 ## 使用的工具 **静态：** Detect It Easy, PEStudio, PE-bear, FLOSS, olevba, CyberChef, YARA, Ghidra **动态：** Process Monitor, Wireshark, Autoruns, Notepad++, Volatility 3, WinPmem **SIEM：** Splunk Enterprise + Sysmon（SwiftOnSecurity 配置） ## 主要发现 - 识别出隐藏嵌入式 batch 负载（PAToken.bat）的 VBs To Exe 保护器 - 追踪完整的脚本组装过程：cmd.exe 逐行写入 bnt.ps1 - 通过修改权限并在重新执行前中和 webhook/自我删除代码，成功恢复了自删除的 Token.bat - 提取出的 Discord token 正则表达式：[\w-]{24}\.[\w-]{6}\.[\w-]{27}|mfa\.[\w-]{84} - 识别出 23 个目标浏览器路径，包括 Chrome、Edge 和 Firefox 的分支版本 - 确认了因 Invoke-WebRequest 错误导致向 discord.com 的 C2 外传失败 - 在整个杀伤链上映射了 12 种 MITRE ATT&CK 技术 ## MITRE ATT&CK 覆盖范围 T1566.003 | T1027.002 | T1027 | T1059.003 | T1059.001 T1539 | T1005 | T1567.001 | T1070.004 | T1016 | T1033 | T1036 ## 环境 - Windows 10 Pro 虚拟机（用于分析）— VirtualBox，隔离的 host-only 网络 - Kali Linux 虚拟机（用于 SIEM）— Splunk Enterprise - 带有 SwiftOnSecurity 社区配置的 Sysmon - Splunk Universal Forwarder 负责转发端点遥测数据

标签：DAST, Discord Token Stealer, DNS 反向解析, Ghidra, OpenCanary, PEStudio, Wireshark, 云安全监控, 云资产清单, 分析报告, 句柄查看, 威胁情报, 库, 应急响应, 开发者工具, 恶意样本分析, 恶意软件分析, 数据窃取, 木马分析, 社工安全, 网络安全审计, 逆向工程, 静态分析