GustavoDLadeia/MALWARE-any.run-analysis

# 恶意软件分析 — ANY.RUN 在本仓库中，我展示了使用 ANY.RUN 在受控环境中进行的恶意软件分析。重点是观察运行时行为，包括进程、网络连接和系统操作。 目的是展示在实际 SOC 环境中对恶意活动的实际分析能力和解读能力。 ## 基本信息 - 文件：`PO G2605-3445.exe` - 类型：Windows 可执行文件 - 环境：交互式沙箱 (ANY.RUN) ## 进程分析 - 初始执行可能通过 `explorer.exe` 进行，表明是用户操作（下载/手动执行） - 二进制文件 `PO G2605-3445.exe` 启动了进程 `regsvcs.exe` ### 解读： 使用 `regsvcs.exe`（一个合法的 Windows 二进制文件）表明涉及以下技术： - 代理执行 / 就地利用 (LOLBins) 这通常与以下内容相关： - 规避检测 - 间接执行恶意 payload 使用 `regsvcs.exe` 表明采用了就地利用 (LOLBins) 技术，允许通过合法的系统二进制文件执行恶意代码，从而使基于签名的检测变得更加困难。 ## 网络分析 - 观察到 47 个 HTTP(S) 请求 ### 通信对象： - `ftp.crescentegramas.com.br` - `ip-api.com`（用于环境侦察） ### 连接的 IP： - `179.190.10.151:21` (FTP) - `179.190.10.151:58034` ### 解读： `ip-api.com` → 用于： - 发现受害者的位置/IP（初始侦察） FTP 连接（端口 21）→ 强烈表明存在数据窃取行为 - 恶意软件可能正在发送窃取的文件 高位端口 (58034) → 可能的备用通信通道 使用 FTP（端口 21）进行外部通信偏离了现代基于 HTTP/HTTPS 的 C2 模式，表明可能尝试直接窃取数据，或使用简单但有效的基础设施来规避传统监控。 对 `ip-api.com` 服务的查询表明了侦察阶段，允许攻击者识别受害者的地理位置和系统特征，可能是为了进行决策（例如，仅在特定区域激活 payload）。 ## 观察到的行为 - 在临时目录中创建文件 - 读取 Machine GUID（唯一主机标识符） - 禁用日志（规避的证据） ### 凭证窃取活动： - 电子邮件数据 - 浏览器数据 - 存储的凭证 ### 解读： 该恶意软件展示了完整的信息窃取程序行为，包括： - 主机识别 - 敏感数据收集 - 准备窃取 - 试图逃避追踪 ## 观察到的攻击链 1. 初始执行（用户） 2. Payload (`PO G2605-3445.exe`) 3. 通过 `regsvcs.exe` 进行代理执行 4. 侦察 (`ip-api.com`) 5. 数据收集（凭证 / Machine GUID） 6. 通过 FTP 窃取数据 (`179.190.10.151`) ## 与 MITRE ATT&CK 的关联 - T1555 – 凭证存储区中的凭证 → 证据是收集了浏览器和电子邮件数据 - T1041 – 通过 C2 通道窃取数据 → 得到了与外部 IP 的 FTP 通信的支持 - T1071 – 应用层协议 → 使用 HTTP/FTP 进行通信 - T1036 – 伪装 / 就地利用 → 使用 `regsvcs.exe` 作为合法进程 - T1082 – 系统信息发现 → 读取 Machine GUID ## 风险评估 - 严重程度：高 - 发生概率：高 - 影响：严重 ### 理由： - 通过社会工程学执行（用户交互） - 使用合法二进制文件进行规避 - 主动收集敏感凭证 - 与外部通信，可能存在基于 FTP 的数据窃取 - 试图禁用日志 ### 潜在影响： - 企业账户遭到入侵 - 敏感数据泄露 - 对环境的持久访问权限 ## 结论 分析出的样本表现出与信息窃取恶意软件一致的行为，通过合法的系统二进制文件（`regsvcs.exe`）使用了规避技术。 观察到的流程表明，执行是由用户交互发起的，随后收集敏感信息并与外部基础设施进行通信，包括使用 FTP，表明存在数据窃取行为。 主机识别机制和日志禁用的存在，进一步强化了该样本的复杂程度。 观察到的行为组合显著降低了误报的可能性，特别是由于它结合了间接执行、数据收集和外部通信。 ## 建议措施 ### 遏制 - 立即隔离受影响的端点 ### 封锁： - IP：`179.190.10.151` - 已识别的域名 ## 调查 ### 验证： - 在其他主机上执行 `regsvcs.exe` 的情况 - 可疑的 FTP 连接 - 在临时目录中创建文件的情况 ## 事件响应 - 重置受损的凭证 - 吊销活动的会话 - 监控可疑的访问 ## 加固 - 限制使用 LOLBins（如 `regsvcs.exe`） - 部署具有行为检测功能的 EDR - 启用高级日志记录 ## 执行威胁狩猎 - 不符合标准模式的 `regsvcs.exe` 执行情况 - 异常的 FTP 连接 - 内部端点对 `ip-api.com` 域名的访问情况

标签：ANY.RUN, C2通信, DAST, DNS 解析, FTP连接, ip-api.com, IP 地址批量处理, LOLBins, Proxy Execution, regsvcs.exe, Windows可执行文件, 动态行为分析, 命令与控制, 威胁情报, 安全运营中心, 实时处理, 开发者工具, 恶意代码分析, 恶意软件分析, 数据渗出, 数据窃取, 沙箱, 环境侦察, 知识库安全, 系统分析, 网络分析, 网络安全, 网络映射, 规避检测, 进程分析, 配置文件, 隐私保护