abhinavkishor9/malware-analysis-law-exe

# 🛡️ 恶意软件分析：law.exe 对 **law.exe** 恶意软件样本进行的针对性动态分析，旨在了解其行为、持久化机制以及数据窃取方法。 ## 🔍 概要 在受控执行期间，我揭开了一个伪装成商业文档、企图通过电子邮件协议窃取数据的木马程序的面纱。 ## 🛠️ 使用工具 * **Process Hacker：** 用于观察恶意软件运行时的行为。 * **Procmon：** 用于追踪隐藏的文件和注册表更改。 * **Wireshark：** 用于捕获恶意软件向其控制中心“回传”的通信。 ## 🚀 主要发现 1. **伪造身份：** 恶意软件以 **"BPPForms"** 的描述运行，试图伪装成合法的企业应用程序。 2. **持久驻留：** 它将自身以 `AheGmkp.exe` 的名称安装到用户的 AppData 文件夹中，并设置了一个 **注册表 Run 键**，以确保在每次计算机启动时都能随之运行。 3. **数据窃取：** 我发现该恶意软件通过 **SMTP (端口 587)** 将数据向外发送至 `us2.smtp.mailhostbox.com`。 ## 📊 妥协指标 (IOCs) * **文件名：** `law.exe` / `AheGmkp.exe` * **注册表键：** `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` * **C2 域名：** `us2.smtp.mailhostbox.com` * **流量类型：** `SMTP (电子邮件)` ## ✅ 结论 这是一起**真阳性**的恶意事件。威胁已被成功识别，其持久化机制已被完整映射，且通信路径已被成功阻断。

标签：C2通信, DAST, IOCs, law.exe, SMTP通信, 云资产清单, 威胁情报, 安全测试, 开发者工具, 恶意软件分析, 攻击性安全, 数据窃取, 木马分析, 沙箱分析, 注册表 run key, 网络信息收集, 网络安全, 逆向工程, 隐私保护