BashiruDamoah/DYNAMIC-MALWARE-ANALYSIS-AND-SOC-INCIDENT-INVESTIGATION-A-PRACTICAL-CYBERSECURITY-APPROACH

# 动态恶意软件分析与SOC事件调查：实用网络安全实践 使用 FLARE VM、Wireshark、YARA 及行业标准工具进行动态恶意软件分析与安全运营中心事件调查。 # 动态恶意软件分析与SOC事件调查：实用网络安全实践 一个实践性恶意软件分析与安全运营中心事件调查项目，涵盖静态分析、动态行为分析、IOC 提取与检测规则开发。 ## ⚠️ 免责声明 本代码仓库**仅供教育与研究目的**。恶意软件样本以密码保护的压缩文件提供，遵循信息安全行业标准实践。 - **密码：** `infected` - 恶意软件样本压缩包必须**下载到本地**才能解压——无法在 GitHub 上直接打开 - 仅可在**隔离的、物理隔离的虚拟环境**中打开 - 切勿在主机或生产系统中执行 - 作者对代码仓库中任何材料的误用不承担任何责任 ## 项目概览 本项目通过两项真实场景调查，展示了实用的网络安全技能： - **第一部分 — 动态恶意软件分析：** 在隔离的 FLARE VM 沙箱中执行并观察可疑二进制文件（`_Bombermania.exe`），记录其完整运行时行为，包括进程活动、文件系统更改、注册表修改及网络通信。 - **第二部分 — SOC 事件调查：** 对企业端点上确认的 AgentTesla 信息窃取器告警进行分类，提取入侵指标，并生成可部署于 SIEM 的检测规则。 ## 展示的技能 - 设置并操作恶意软件分析沙箱（FLARE VM） - 静态分析 — 文件属性、熵值、字符串提取 - 动态行为分析 — 进程、文件系统、注册表及网络监控 - 网络流量捕获与 C2 识别 - IOC 提取与文档化 - YARA 检测规则开发与验证 - SOC 风格事件分类与报告 - 通过 VirusTotal 进行威胁情报交叉验证 ## 代码仓库内容 | 文件 | 描述 | |------|------| | `dynamic_Assignment.pdf` | 完整的调查报告 | | `yara_rule.yar` | 针对 Bombermania dropper 的 YARA 检测规则 | | `malware_IOC.txt` | 从两项调查中提取的 20 个入侵指标 | | `strings.txt` | 使用 FLOSS 从恶意软件二进制文件提取的字符串 | | `malware_sample.zip` | 密码保护的恶意软件样本 — 必须**下载**才能访问。密码：`infected` | ## 工具与环境 | 类别 | 工具 | |------|------| | 沙箱 | FLARE VM (Windows 10), VMware Workstation | | 静态分析 | PEStudio, FLOSS, certutil | | 动态分析 | Process Monitor, Process Explorer, Regshot | | 网络分析 | Wireshark, FakeNet-NG, TCPView | | 检测工程 | YARA | | 威胁情报 | VirusTotal | ## 项目操作步骤 ### 步骤 1 — 环境设置 - 在 VMware Workstation 上安装并配置 FLARE VM - 将网络适配器设置为**仅主机模式**，以隔离虚拟机与互联网 - 执行前创建快照以便干净回滚 - 在执行样本前启动所有监控工具 ### 步骤 2 — 静态分析 - 将 `_Bombermania.exe` 加载到 PEStudio 中检查文件属性、熵值和指标 - 使用 FLOSS 提取二进制文件中嵌入的可读字符串 - 使用 certutil 计算 SHA256、MD5 和 SHA1 哈希值 - 在 VirusTotal 上交叉验证哈希值 — 返回 **0/72 项检测**，凸显了静态扫描的局限性 ### 步骤 3 — 动态分析 - 执行前使用 Regshot 捕获基线注册表快照 - 启动 Process Monitor、Process Explorer、Wireshark 和 FakeNet-NG - 执行样本并观察超过 15 分钟 - 记录所有进程、文件系统、注册表和网络活动 ### 步骤 4 — 关键发现（第一部分） - 恶意软件生成子进程 `Bombermania.exe`（PID 3692） - 向 `2.19.251.58:80` 发起出站 HTTP 请求，向 `135.18.128.210:443` 发送 TLS 流量 - 通过 DNS 查询 `wikiplum.com` — 疑似失效的 C2 域名 - Regshot 记录了共 86 项注册表更改 - 被分类为使用 Inno Setup 打包的**木马下载器** ### 步骤 5 — SOC 事件调查（第二部分） - 调查告警 `SOC-2025-0342` — `WORKSTATION-04` 上的 AgentTesla 信息窃取器 - 恶意软件通过附带密码保护 ZIP 文件的钓鱼邮件传播 - 在 Windows Defender 隔离前静默运行**约 47 分钟** - 通过 SMTP 端口 587 向 `mail.smtp2go.com` 泄露了**约 1.2 MB** 数据 - 通过 HTTP GET 与 `185.234.219.43/gate.php` 进行 C2 通信 - VirusTotal：**59/72 家供应商**将该样本标记为恶意 ### 步骤 6 — 检测规则开发 - 开发了一条针对 FLOSS 提取的唯一字符串的 YARA 规则 - 对该样本验证规则 — 规则成功触发 ### 步骤 7 — IOC 提取 - 从两项调查中提取了 20 个 IOC，包括文件哈希值、IP 地址、域名、注册表键、文件路径和电子邮件指标 - IOC 记录在 `malware_IOC.txt` 中，用于威胁猎捕和检测 ## 调查总结 | | 第一部分 — Bombermania | 第二部分 — AgentTesla | |--|----------------------|---------------------| | 分类 | 木马下载器 | 信息窃取器 | | 传播方式 | 直接执行 | 钓鱼邮件 | | C2 | wikiplum.com / 2.19.251.58 | 185.234.219.43/gate.php | | 持久化 | 注册表修改 | Run 键、启动文件夹 | | 数据泄露 | 无 | 约 1.2 MB，通过 SMTP 端口 587 | | VirusTotal | 0/72 | 59/72 | *作者：Damoah Bashiru*

标签：C2通信识别, DAST, FLARE VM, IOC提取, IP 地址批量处理, Wireshark, YARA, 云安全监控, 云资产可视化, 句柄查看, 威胁情报, 安全实践, 安全工具使用, 安全运营中心, 开发者工具, 恶意软件分析, 恶意软件行为监控, 文件系统监控, 检测规则, 沙箱分析, 注册表监控, 网络安全, 网络安全审计, 网络映射, 网络流量分析, 网络资产发现, 进程活动监控, 隐私保护, 静态分析