cassolg/OctoRAT-Malware-Static-Analysis

# OctoRAT 静态恶意软件分析 ## 概述 本代码库包含来自 LetsDefend 恶意软件分析挑战的 **OctoRAT** 样本的静态恶意软件分析。 目标是通过静态分析技术对恶意软件进行逆向工程，识别其功能，并分析其持久化、权限提升以及命令与控制（C2）行为。 # 使用工具 - Detect It Easy (DIE) - ILSpy - Windows 虚拟机（隔离分析环境） # 初始发现 该恶意软件被识别为： - PE32 可执行文件 - .NET Framework 应用程序 - GUI 可执行文件 - 运行时：`.NET v4.0.30319` 样本使用 ILSpy 进行反编译以供进一步分析。 # 已识别的恶意软件功能 该恶意软件包含以下功能： - 键盘记录 - 剪贴板监控 - 浏览器历史记录窃取 - 密码恢复 - 加密货币钱包窃取 - 远程桌面流传输 - 注册表编辑 - 文件管理 - 远程输入控制 - 防火墙和 UAC 修改 # 关键发现 ## 互斥量 ``` OctoRAT_Client_Mutex_{B4E5F6A7-8C9D-0E1F-2A3B-4C5D6E7F8A9B} ``` ## UAC 绕过技术 恶意软件滥用： ``` fodhelper.exe ``` 使用注册表劫持： ``` HKCU\Software\Classes\ms-settings\shell\open\command ``` ## 禁用 UAC 命令 恶意软件修改： ``` HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System ``` 并设置： ``` EnableLUA = 0 ``` ## Windows 防火墙禁用命令 ``` netsh advfirewall set allprofiles state off ``` ## 配置解析 恶意软件使用分隔符解析其配置： ``` | ``` ## 自删除/销毁功能 在自删除前，恶意软件使用以下方式隐藏自身： ``` Hidden | System ``` # 观察到的有趣类 - `HandlePacket(Packet)` - `BypassUACFodHelper()` - `SelfDelete()` - `WalletGrabber` - `ClipboardMonitor` - `Keylogger` - `PasswordRecovery` # 实践的技能 - 静态恶意软件分析 - .NET 逆向工程 - ILSpy 分析 - Windows 内部机制 - 注册表分析 - C2 命令分析 - 恶意软件功能映射 # 免责声明 本代码库严格用于教育和防御性安全研究目的。 请勿在隔离的实验室环境之外执行恶意软件样本。

标签：AlienVault OTX, C2通信, Conpot, DAST, ILSpy, LetsDefend挑战, .NET框架, PE32文件, UAC绕过, Windows安全, 云安全监控, 云资产清单, 互斥锁, 剪贴板监控, 加密货币钱包盗窃, 威胁情报, 开发者工具, 恶意软件分析, 文件管理, 注册表编辑, 浏览器历史窃取, 自删除, 远程控制, 远程桌面, 逆向工程, 配置解析, 键盘记录, 防火墙禁用, 静态分析