恶意软件分析与受控利用实验室

项目描述

本项目旨在构建一个可控的网络安全实验环境，利用 VirtualBox、Kali Linux 和 Windows 虚拟机，安全地模拟恶意软件的创建、传播和远程访问技术。该实验室旨在演示安全的恶意软件测试实践、网络隔离、侦察、载荷生成、监听器配置以及在封闭虚拟环境中的连接验证。 项目通过实施快照、隔离网络和静态 IP 配置来强调安全的虚拟化实践，以降低风险并维持一个可恢复的测试环境。

使用的语言和工具

- Kali Linux - VirtualBox - Nmap - Metasploit Framework - MSFVenom - Windows Command Prompt - Netstat

使用的环境

- Windows 10 虚拟机 - Kali Linux 虚拟机 - VirtualBox 内部网络

项目演练:

在 VirtualBox 中创建并配置了一个专用的 Windows 10 虚拟机，用于在受控环境中进行恶意软件测试和分析：


将 Kali Linux 配置为攻击机，并验证了用于内部网络通信的静态 IP 寻址：


为 Windows 虚拟机配置了一个静态内部 IP 地址，以确保测试期间两个系统之间稳定的通信：


使用 ICMP ping 请求在隔离的 VirtualBox 内部网络上验证了 Kali Linux 和 Windows 虚拟机之间的网络连接：


在开始恶意软件执行测试之前，为 Kali Linux 环境创建了一个 VirtualBox 快照，以提供安全的恢复检查点：


使用 Nmap 执行侦察，枚举开放端口并识别 Windows 虚拟机上运行的暴露服务：


在网络枚举期间确认 Windows 目标主机上的远程桌面协议端口 3389 是开放的：


使用 MSFVenom 生成了 Windows 反向 TCP 载荷，并将可执行文件伪装成 PDF 文件，以便在实验室内进行受控的恶意软件模拟测试：


在 Kali Linux 机器上配置了一个 Metasploit 多处理器监听器，以接收来自 Windows 虚拟机的反向连接：


在一个简单的 Web 服务器上托管该载荷，并从 Windows 虚拟机访问，以在隔离的实验室网络内模拟载荷投递技术：


出于教育和恶意软件分析目的，在实验环境中临时禁用了 Windows Defender 的实时保护，以允许载荷执行：


在 Windows 虚拟机上执行载荷，并成功建立了一个返回到 Kali Linux 监听器的 Meterpreter 反向 Shell 连接：


使用 netstat -anob 在 Windows 虚拟机上验证了活动连接，确认 Windows 主机与 Kali Linux 监听器之间通过端口 4444 成功通信：


确认从 Kali Linux 系统成功建立了远程会话，并验证了两台虚拟机之间的双向通信：

标签：CTI