vidhihshah25-commits/malware-analysis-lab
GitHub: vidhihshah25-commits/malware-analysis-lab
这是一个搭建恶意软件分析沙箱并分析AgentTesla样本的实验室项目,旨在安全地探索恶意软件行为和提取入侵指标。
Stars: 0 | Forks: 0
# 恶意软件分析实验室
搭建了恶意软件分析沙箱,并对真实恶意软件样本(AgentTesla)进行了静态和动态分析。
## 实验室架构
```
┌──────────────────────┐ ┌──────────────────┐
│ REMnux (Analysis) │ │ Flare VM (Run) │
│ - Volatility │ │ - Windows 10 │
│ - IDA Free │ │ - Run malware │
│ - x64dbg │ │ - Capture IOCs │
│ - YARA │ │ - Monitor net │
│ - strings/upx │ │ - Sysmon/ProcMon│
└──────────────────────┘ └──────────────────┘
│ │
└─────────── ISOLATED NETWORK ───────────┘
(INetSim + Fakedns)
```
## 样本:AgentTesla
- **来源**:MalwareBazaar (SHA256: `a1b2...`)
- **类型**:木马,信息窃取程序
- **传播方式**:钓鱼邮件附件(恶意XLS文件)
## 静态分析
### 文件识别
```
file sample.exe
# PE32 可执行文件 (GUI) Intel 80386, 适用于 MS Windows
sha256sum sample.exe
# a1b2c3d4e5f67890...
```
### 字符串分析
```
strings sample.exe | grep -i "http\|https\|url\|send\|post"
# http://malicious-c2.com/gate.php
# POST /gate.php HTTP/1.1
```
### PE分析 (pefile)
```
import pefile
pe = pefile.PE("sample.exe")
pe.sections # .text, .rdata, .data, .rsrc — unusual section names
```
**发现**:UPX加壳的二进制文件:
```
upx -d sample.exe -o unpacked.exe
```
### YARA规则检测
```
yara -s rules/agenttesla.yar sample.exe
# AgentTesla_Loader 已检测到
```
## 动态分析
### 网络行为(由INetSim捕获)
| 时间戳 | 协议 | 目标地址 | 数据 |
|--------------|-------|-----------------|------------------------------------------|
| 0:00:05 | DNS | malicious-c2.com | A记录请求 |
| 0:00:06 | HTTP | /gate.php | POST请求(Base64编码的系统信息) |
| 0:00:30 | HTTP | /gate.php | POST请求(键盘记录数据) |
### 文件系统变更
- 已创建:`C:\Users\victim\AppData\Roaming\javaw.exe`
- 已创建:`C:\Users\victim\AppData\Roaming\keylog.dat`
- 已修改:`C:\Users\victim\AppData\Local\Temp\~DF423F.tmp`
### 注册表变更
- `HKCU\...\Run\JavaUpdate` → `C:\Users\victim\AppData\Roaming\javaw.exe`
## IOC(入侵指标)
| 指标 | 类型 |
|------------------------------|----------------------|
| a1b2c3d4e5f67890... | SHA256(样本) |
| malicious-c2.com | 域名 |
| 185.234.72.18 | IP地址 |
| /gate.php | URI路径 |
| C2 发送 Base64 编码的 JSON | C2 协议 |
## 展示的技能
- 恶意软件沙箱搭建(Flare VM, REMnux)
- 静态分析(PE分析、字符串分析、UPX脱壳)
- 动态分析(ProcMon、Wireshark、INetSim)
- YARA规则编写
- IOC提取与报告
- 逆向工程基础(x64dbg)
标签:AgentTesla, C2服务器, DAST, DNS信息、DNS暴力破解, DNS监控, Flare VM, HTTP分析, IDA Pro, IOC收集, PE文件分析, ProcMon, REMnux, Sysmon, UPX解包, YARA规则, 二进制分析, 云安全监控, 云安全运维, 云资产清单, 信息窃取器, 合规性检查, 威胁情报, 字符串分析, 开发者工具, 恶意代码分析, 恶意软件分析, 沙箱分析, 特洛伊木马, 网络安全, 网络行为监控, 逆向工程, 配置文件, 隐私保护, 静态分析