docpant/malware-analysis-virustotal-pyramid-of-pain

GitHub: docpant/malware-analysis-virustotal-pyramid-of-pain

使用VirusTotal和Pain of Pyramid框架进行恶意软件分析。

Stars: 0 | Forks: 0

# 使用 VirusTotal 和 Pain of Pyramid 进行恶意软件分析 ## 项目概述本项目记录了使用 VirusTotal 和 Pain of Pyramid 框架对恶意文件进行的调查。目标是： - 确定文件是否为恶意文件 - 识别入侵指标（IOCs） - 分析恶意软件行为 - 使用事件响应方法记录发现情况 ## 场景一名员工通过电子邮件收到了一个密码保护的电子表格附件。打开文件后，恶意有效载荷在端点上执行并创建了未经授权的可执行文件。生成了一个入侵检测系统（IDS）警报，并使用 VirusTotal 对文件进行了调查。 ## 使用工具 - VirusTotal - SHA256 哈希分析 - 入侵检测系统（IDS） - MITRE ATT&CK 框架 - Pain of Pyramid 框架 ## 调查证据 ### 检测分析 ![检测](https://raw.githubusercontent.com/docpant/malware-analysis-virustotal-pyramid-of-pain/main/assets/detection-tab.png) ### 文件详情 ![详情](https://raw.githubusercontent.com/docpant/malware-analysis-virustotal-pyramid-of-pain/main/assets/details-tab.png) ### 网络关系 ![关系](https://raw.githubusercontent.com/docpant/malware-analysis-virustotal-pyramid-of-pain/main/assets/relations-tab.png) ### 恶意软件行为 ![行为](https://raw.githubusercontent.com/docpant/malware-analysis-virustotal-pyramid-of-pain/main/assets/behavior-tab.png) ## 关键发现 ### 恶意软件家族 - Flagpro - Fragtor ### 入侵指标 | 类型 | 值 | |--------|--------| | SHA1 | 8f35a9e70dbecbf1904991773f394cd4f9a07f5e | | MD5 | 287d612e29b71c90aa54947313810a25 | | 域名 | a.sinkhole.yourtrap.com | | IP | 104.115.151.81 | ## 展示的技能 - 恶意软件分析 - 威胁情报 - IOCs 分析 - 事件响应 - 安全运营 - 威胁狩猎 - MITRE ATT&CK 映射 - 安全文档

标签：逆向工具