GustavoDLadeia/MALWARE-virustotal-analysis

# 恶意软件分析 - VirusTotal 在本仓库中，我展示了使用 VirusTotal 进行的恶意软件分析，重点关注指标解释而不仅仅是检测。 这些调查包括与恶意基础设施的关联、风险评估以及与 MITRE ATT&CK 的目标映射，优先考虑最相关的技术。 目的是展示在 SOC 环境中将技术数据转化为可操作结论的能力。 ## 基本信息 - MD5: `0fd28ed18e522b9eef69b57aa8bdbf8f` - SHA1: `5eba649f7e0cead07e1788973b9deae4c54e7a46` - SHA256: `3996fdec3ceac6027730777ec99f6870a9c76e3904a1d2c78cef954a7484090e` - 类型: Windows 可执行文件 (Win32 EXE) - 首次发现: `2024-09-30` - 最近分析: `2026-01-27` ## 检测 - 52 个引擎检测到该样本为恶意软件 ### 常见分类: - Trojan - Stealer - Gen:Variant.Jalapeno ### 解释: 一致将其归类为 stealer 表明其极有可能进行凭据和敏感数据窃取。使用通用签名表明这是一个已知的恶意软件变种，可能经过了轻微的修改。 ## 分析 - Win32 可执行文件 → 兼容在 Windows 端点上的感染 - 被归类为 stealer → 典型行为包括： - 浏览器凭据收集 - Cookie/会话转储 - 可能的键盘记录 - 与多个外部域通信 → 强烈表明： - 轮询 - 数据窃取 恶意活动的主要指标是以下各项的结合： - 高检测率（52 个引擎） - 一致归类为 stealer - 与多个外部端点的通信 这些因素共同显著降低了误报的可能性。 鉴于检测引擎之间的高度一致性以及观察到的行为，误报的可能性被认为是较低的。 ## 关系（基础设施洞察） ### 相关域名: - `wymascensores.com` - `ftp.alternatifplastik.com` 识别出的域名似乎是合法的，表明它们可能已被入侵并被用作中间基础设施（暂存/C2），这是逃避检测和增加活动持久性的常用技术。 ### 涉及的 IP 地址: - `114.114.114.114` → 公共 DNS（可能是干扰信息） - `218.85.157.99` - `23.198.171.50` - `67.212.175.162` ### 解释: - 存在多个 IP → C2 冗余 - 合法（DNS）与可疑 IP 混合使用 → 伪装技术 使用与不同区域关联的多个 IP 表明存在分布式基础设施，可能通过 C2 轮换来提高弹性并增加阻断的难度。 ### 联系过的 URL: - Payload 可能通过 HTTP 端点检索或发送数据 ## 风险评估 - 高风险 - 高检测率（52 家供应商） - 一致归类为 stealer - 与外部基础设施的通信 - 敏感数据的潜在泄露 - 隐含的持久化能力（在此类恶意软件中很常见） ### 潜在影响: - 窃取企业凭据 - 会话劫持 - 横向移动（如果凭据被重用） ## 与 MITRE ATT&CK 的关联 观察到的行为与 MITRE ATT&CK 技术一致，特别是： - T1555（来自密码存储的凭据）：与归类为 stealer 一致 - T1041（通过 C2 通道窃取）：通过与多个域名/IP 的通信得到证实 - T1071（应用层协议）：可能使用 HTTP 进行窃取 这些技术表明了敏感数据收集和窃取的典型流程。 ## 结论 分析的样本显示出信息窃取恶意软件的明显特征，具有收集和窃取敏感数据的能力。 与多个域名和 IP 的通信表明存在活跃的命令与控制基础设施，可能使用被入侵的服务器来增加检测难度。 签名的通用性质表明该恶意软件可能是一个修改过的变种，但仍保留了核心的信息窃取功能。 ## 应对措施 ### 立即遏制 - 将受感染的机器从网络中隔离 - 封锁： - 已识别的域名 - 防火墙/EDR 中的可疑 IP ### 调查 - 基于识别出的 IOC 执行威胁狩猎 - 检查代理/防火墙日志中与这些域名/IP 的通信 - 验证该哈希值是否在其他端点上执行过 ### 核实: - 可疑的活动进程 - 最近的网络连接 - 异常文件的创建 ### 搜索指标: - 相关哈希值 - 相似的域名 ### 用户影响处理 - 重置受损的凭据 - 撤销活动的会话（尤其是浏览器会话） ### 安全加固 - 尽可能启用 MFA - 监控身份验证日志 - 强化端点安全策略

标签：Ask搜索, ATT&CK映射, C2通信, DAST, IP 地址批量处理, MD5分析, SHA256, SOC分析, Stealer, URL发现, VirusTotal, Windows恶意软件, 凭据窃取, 基础设施分析, 威胁情报, 安全分析报告, 安全报告, 安全检测, 安全运营中心, 开发者工具, 恶意软件分析, 数字取证, 数据窃取, 木马分析, 网络安全, 网络映射, 自动化脚本, 速率限制处理, 防御加固, 隐私保护