bladeinrush/Malware-Analysis
GitHub: bladeinrush/Malware-Analysis
这是一个恶意软件分析项目,通过对可疑可执行文件进行静态和动态分析来识别其恶意行为并提取威胁指标。
Stars: 0 | Forks: 0
# 恶意软件分析报告 — semme.exe (AgentTesla)
  
对可疑可执行文件 `semme.exe` 的静态和动态分析,已确认其为 **AgentTesla** — 一种窃取凭据的木马。本次分析是阿伯泰大学 CMP509:道德黑客硕士课程的一部分。
## 概述
样本在**隔离的虚拟环境**中采用静态和动态相结合的分析方法进行了分析。分析证实了其恶意意图——该文件是一个基于 .NET 的信息窃取程序,具有混淆、网络通信能力和系统持久化行为。
**结论:** 恶意 — 木马 / 窃取程序 (AgentTesla)
**检测率:** VirusTotal 上 72 个反病毒引擎中有 60 个检出
**平台:** 32 位 .NET 应用程序
## 分析工作流程
```
Static Analysis Dynamic Analysis Conclusion
──────────────── ──────────────── ──────────
File properties → Process monitoring → IOC extraction
PE structure analysis Registry changes Risk assessment
String extraction Network behavior Verdict
Import analysis DNS queries
Reverse engineering Traffic capture
(dnSpy decompilation)
```
## 主要发现
| 指标 | 详情 |
|---|---|
| 文件类型 | 32 位 .NET 可执行文件 |
| 混淆 | 高熵值 — 检测到打包/混淆 |
| 权限 | 需要管理员权限 |
| 网络 | 使用 `System.Net.WebClient` 进行外部通信 |
| 字符串 | 嵌入的 URL、类似 SQL 的结构、随机元数据 |
| 注册表 | 通过 Regshot 观察到持久化条目 |
| 网络活动 | 通过 FakeNet/Wireshark 捕获的 DNS 查询和出站连接 |
| VirusTotal | 60/72 — 分类为木马、窃取程序、AgentTesla |
## 使用的工具
| 阶段 | 工具 | 用途 |
|---|---|---|
| 静态分析 | PEStudio | PE 结构、可疑指标 |
| 静态分析 | Detect It Easy (DIE) | 文件类型、熵、混淆检测 |
| 静态分析 | dnSpy | .NET 反编译与逆向工程 |
| 动态分析 | Process Monitor (Procmon) | 文件系统和注册表活动 |
| 动态分析 | Regshot | 注册表快照比较 |
| 动态分析 | FakeNet-NG | 网络行为模拟 |
| 动态分析 | Wireshark | 网络流量捕获与分析 |
| 验证 | VirusTotal | 多引擎恶意软件分类 |
## 恶意软件行为摘要
**静态指标:**
- 使用随机命名空间的混淆 .NET 代码
- 嵌入的网络地址和 IP
- `System.Net.WebClient` 导入 — 表明具有 C2 通信能力
- 高熵值,表明存在打包或混淆的有效载荷
**动态指标:**
- 为持久化进行的主动注册表修改
- DNS 查询和出站 TCP 连接
- 执行期间的文件系统访问
- 系统库加载行为与凭据窃取活动相符
## 报告
完整的恶意软件分析报告包含在此代码仓库中。
📄 [恶意软件分析报告.docx](./Malware_Analysis_Report.docx)
## 工具与参考文献
- [PEStudio](https://www.winitor.com/)
- [Detect It Easy](https://github.com/horsicq/Detect-It-Easy)
- [dnSpy](https://github.com/dnSpy/dnSpy)
- [Process Monitor — Sysinternals](https://learn.microsoft.com/sysinternals)
- [FakeNet-NG](https://github.com/fireeye/flare-fakenet-ng)
- [Wireshark](https://www.wireshark.org/)
- [VirusTotal](https://www.virustotal.com/)
- Sikorski, M. and Honig, A. (2012) *Practical Malware Analysis*. No Starch Press.
## 免责声明
本次分析仅在**受控隔离的虚拟环境**中进行,仅供教育目的。该恶意软件样本未在任何真实或生产系统上执行。
标签:AgentTesla, CDN识别, DAST, DNS 反向解析, DNS查询, IOC提取, IP 地址批量处理, .NET分析, 云安全监控, 云资产清单, 入侵指标, 反取证, 可执行文件分析, 合规性检查, 多人体追踪, 安全评估, 恶意软件分析, 木马, 注册表持久化, 混淆技术, 网络安全, 网络通信, 虚拟环境, 逆向工程, 隐私保护, 静态分析