ThreatHunter76/Malware-Analysis-And-Threat-Intelligence-Investigation

# 恶意软件分析与威胁情报调查 ## 项目概述 本项目重点是对可疑的恶意软件样本进行网络威胁情报 (CTI) 调查，综合使用静态和动态恶意软件分析技术。 本次调查的目的是识别恶意文件，分析其威胁态势，提取威胁指标 (IOC)，并制定检测建议，以帮助组织检测和预防未来的攻击。 本次调查使用了以下工具： - VirusTotal (静态恶意软件分析) - ANY.RUN 沙箱 (动态行为分析) # 调查目标 本项目的主要目标包括： - 识别恶意哈希值 - 分析恶意软件特征 - 提取威胁指标 (IOC) - 调查持久化机制 - 识别可能的伪装行为 - 分析恶意软件行为模式 - 评估潜在威胁影响 - 制定检测与防御建议 # 恶意软件样本信息 | 字段 | 值 | |---|---| | 文件名称 | izup.exe | | 文件类型 | Windows Win32 PE 可执行文件 (.exe) | | 架构 | x86 (32位) | | SHA256 | 1adc29f30b30e301acefe1b46bbbd7a4f3a76c3708ab842199e95f8f5f053244 | | 检出率 | 56/69 的安全供应商标记为恶意 | # 使用的工具 ## VirusTotal 用途： - 静态恶意软件分析 - 哈希信誉分析 - IOC 提取 - 元数据分析 - PE 分析 - 威胁情报关联 ## ANY.RUN 沙箱 用途： - 动态行为分析 - 进程监控 - 网络通信分析 - 注册表活动分析 - 恶意软件执行追踪 # 静态分析发现 (VirusTotal) 静态分析揭示了与该恶意软件样本相关的多个可疑特征。 ## 主要发现 - 高杀毒软件检出率 - 未签名的可执行文件 - 加壳/混淆结构 - 可疑的注册表修改 - 潜在的伪装行为 - 可疑的元数据引用 - 存在与网络相关的指标 ## 恶意软件特征 该可执行文件表现出： - 高熵值 (~7.94) - Win32 PE 结构 - 可疑的可执行文件命名 - 潜在的防御规避行为 ## 威胁指标 (IOC) ### 静态网络指标 - 可疑域名 - 恶意 IP 地址 - 可疑 URL ### 注册表活动 观察到涉及以下内容的可疑注册表交互： ``` HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap/Intranet ```

标签：ANY.RUN, Ask搜索, DAST, DNS 反向解析, DNS 解析, IOC提取, TTP分析, VirusTotal, Windows PE, x86, 云安全监控, 云资产清单, 伪装, 加壳, 哈希分析, 威胁情报, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 检测建议, 沙箱, 注册表修改, 混淆, 网络信息收集, 网络安全, 网络通信分析, 逆向工程, 防御策略, 隐私保护, 静态分析