whoshush/Malware-Analysis-Portfolio
GitHub: whoshush/Malware-Analysis-Portfolio
这是一个恶意软件分析与威胁情报作品集,通过隔离沙箱环境引爆样本,为安全团队提供IOC和检测规则以提升防御能力。
Stars: 0 | Forks: 0
# 恶意软件分析与威胁情报档案
欢迎来到我的核心恶意软件分析登记库。此代码库作为一个专业级作品集,包含了我从实际恶意软件引爆中收集的技术调查、行为日志和威胁指标。
本项目的核心焦点是分析真实世界的威胁,以构建可操作的检测工程工件(**YARA** 和 **Sigma/SIEM** 规则),服务于安全运营中心(SOC)和事件响应团队。
## 🔬 自动化沙箱架构
每个样本都在严格隔离的、软件定义的 **双虚拟机(三明治拓扑)** 架构中引爆,以确保物理主机的安全和网络的遏制。
```
+-------------------------------------------------------+
| Isolated Host-Only Network |
| (DHCP Disabled) |
+-----------+-------------------------------+-----------+
| |
+--------------v--------------+ +--------------v--------------+
| Windows 10 Enterprise | | REMnux v7 |
| (FLARE VM Instrumentation) | | (Linux Appliance) |
| | | |
| IP: 192.168.56.20 | | IP: 192.168.56.10 |
| Gateway: 192.168.56.10 | | Services: INetSim |
+-----------------------------+ +-----------------------------+
| |
(Monitors Host Deltas) (Intercepts C2 Traffic)
```
## 📊 威胁情报矩阵
以下是已分析威胁的集中索引。每个目录都包含一个专门的 **恶意软件分析报告(MAR)** 和可供 SIEM 摄取的结构化日志。
| 威胁 / 样本名称 | 恶意软件家族 | 攻击向量 / IOC 概要 | 分析状态 | 报告链接 |
| :--- | :--- | :--- | :---: | :--- |
| **NanoCore RAT v1.2.2.0** | 远程访问木马 | 注册表运行键,任务计划程序篡改,DNS 覆盖(`8.8.8.8`)。 | 🟢 已完成 | [查看报告](./NanoCore-RAT/README.md) |
| **RedLine Stealer** | 信息窃取程序 | SQLite 浏览器数据库采集,WCF/SOAP 协议通过端口 80。 | 🟢 已完成 | [查看报告](./RedLine-Stealer/README.md) |
| **WannaCry 2.0** | 加密蠕虫 | MS17-010(永恒之蓝)漏洞利用,Kill-Switch 域名,`vssadmin` 清除。 | 🟢 已完成 | [查看报告](./WannaCry/README.md) |
| **Emotet** | 模块化加载器 / 僵尸网络 | 恶意 VBA 宏,“就地取材”(`PowerShell` Base64),Word 子进程。 | 🟢 已完成 | [查看报告](./Emotet/README.md) |
| **Cobalt Strike (Beacon)** | 后期利用 | 内存驻留,进程镂空(`rundll32`),可定制 C2 配置文件。 | 🟢 已完成 | [查看报告](./Cobalt-Strike/README.md) |
| **LockBit 3.0 (Black)** | 现代勒索软件 | 双重勒索,多线程加密,壁纸劫持,WMI 卷影副本删除。 | 🟢 已完成 | [查看报告](./LockBit-3.0/README.md) |
| **Agent Tesla** | 键盘记录器与窃取器 | .NET ConfuserEx 混淆,全局钩子(`SetWindowsHookEx`),SMTP/Telegram 数据外传。 | 🟢 已完成 | [查看报告](./Agent-Tesla/README.md) |
| **XMRig Miner** | 加密劫持 | 资源劫持(100% CPU 负载),Stratum JSON-RPC 协议,`WinRing0x64.sys`。 | 🟢 已完成 | [查看报告](./XMRig/README.md) |
| **NotPetya** | 破坏性清除器 | 覆盖物理主引导记录(`\\.\PhysicalDrive0`),主文件表破坏,伪造 CHKDSK。 | 🟢 已完成 | [查看报告](./NotPetya/README.md) |
| **TrickBot** | 模块化木马 | 挂起的 `svchost.exe` 注入,浏览器网页注入,类似 REST 的 URI 活动跟踪。 | 🟢 已完成 | [查看报告](./TrickBot/README.md) |
*状态图例:🟢 生产就绪 | 🟡 已提取遥测数据 / 撰写中 | ⏳ 计划引爆*
## 🛠️ 标准化代码库布局
为了符合数字取证与事件响应(DFIR)规范,每个威胁目录的结构划分如下:
```
/[Malware-Family-Name]/
├── README.md # Main Executive & Analytical Report
└── Indicators-of-Compromise/
├── host_ioc_registry.txt # Flat-text logs of registry/file changes for EDR
└── network_ioc_config.txt # Extracted C2 metadata and PCAP anomalies for Firewalls
```
*免责声明:此代码库不包含任何活跃的恶意二进制文件、有效载荷或源代码。所有遥测数据、哈希值和流量日志均在严格受控、气隙隔离且不可路由的虚拟实验室中收集,仅用于防御性研究和教育目的。*
标签:DAST, DNS信息、DNS暴力破解, FLARE VM, INetSim, IOC指标, REMnux, SIEM系统, Sigma规则, Sysmon监控, YARA规则, 威胁情报, 安全运营中心, 开发者工具, 恶意软件分析, 恶意软件样本, 攻击模拟, 数字取证, 沙箱环境, 目标导入, 网络安全, 网络映射, 网络隔离, 自动化分析, 自动化脚本, 虚拟化技术, 跨站脚本, 隐私保护, 驱动签名利用