T-Kaiba/Malware-Analysis-Reports

# 恶意软件分析报告 ## 概述 本存储库包含作为网络安全家庭实验室项目一部分创建的恶意软件分析报告，该项目专注于培养安全运营中心（SOC）分析师的技能。 本项目的目标是使用公开可用的威胁情报和沙箱分析平台调查现实世界的恶意软件样本，识别恶意行为，提取入侵指标（IOCs），并将观察到的技术映射到MITRE ATT&CK框架。 分析使用从恶意软件沙箱环境中收集的行为和威胁情报数据执行，而不是在生产系统上直接执行恶意软件。 ## 项目目标 * 理解现代恶意软件的运作方式 * 识别恶意进程和行为 * 分析网络通信和命令与控制活动 * 提取入侵指标（IOCs） * 将恶意软件行为映射到MITRE ATT&CK技术 * 发展事件调查和报告技能 * 生成专业的恶意软件分析文档 ## 使用工具 ### 威胁情报与分析 * Any.Run 交互式沙箱 * VirusTotal * MITRE ATT&CK 框架 ### 文档 * GitHub * Markdown ## 分析的恶意软件样本 ### 代理 Tesla **类型:** 信息窃取器 Agent Tesla 是一个常用的凭证窃取恶意软件家族，通常用于从受感染的系统中窃取敏感信息。 主要发现： * 浏览器凭证窃取 * 密码存储访问 * 系统侦察 * 网络通信 * 防御规避技术 **报告位置：** ``` Report-1-AgentTesla/ ``` ### LokiBot **类型:** 银行木马 / 信息窃取器 LokiBot 是一种恶意软件，旨在窃取凭证、浏览器数据和敏感信息，同时与攻击者控制的基设施保持通信。 主要发现： * 凭证收集 * 浏览器凭证窃取 * 命令与控制通信 * 数据泄露行为 * 注册表和系统发现活动 **报告位置：** ``` Report-2-LokiBot/ ``` ### RedLine Stealer **类型:** 信息窃取器 RedLine Stealer 是一种广泛传播的恶意软件家族，以其收集凭证、浏览器数据、加密货币钱包信息和其它敏感用户数据而闻名。 主要发现： * 系统信息发现 * 注册表查询 * 可疑的出站网络活动 * 已知的凭证窃取能力 * 高级防病毒检测率 **报告位置：** ``` Report-3-RedLine/ ``` ## 展示的技能 ### 恶意软件分析 * 静态分析 * 行为分析 * IOC 识别 * 威胁情报研究 ### 安全运营 * 事件调查 * 威胁检测 * MITRE ATT&CK 映射 * 安全报告 ### 网络分析 * 命令与控制识别 * 可疑流量分析 * 网络威胁调查 ## 观察到的MITRE ATT&CK技术 在分析样本中识别的技术示例包括： | 技术ID | 技术 | | ------------ | -------------------------------- | | T1012 | 查询注册表 | | T1082 | 系统信息发现 | | T1071 | 应用层协议 | | T1552 | 不安全的凭证 | | T1555 | 从密码存储中获取凭证 | | T1555.003 | 从网络浏览器中获取凭证 | | T1518 | 软件发现 | | T1217 | 浏览器信息发现 | | T1036 | 匿名化 | | T1027 | 加密文件或信息 | ## 存储库结构 ``` Malware-Analysis-Reports/ ├── README.md ├── Report-1-AgentTesla/ │ ├── report.md │ └── screenshots/ ├── Report-2-LokiBot/ │ ├── report.md │ └── screenshots/ └── Report-3-RedLine/ ├── report.md └── screenshots/ ``` ## 学习成果 通过这个项目，我获得了分析恶意软件行为、调查入侵指标、理解攻击者技术和使用行业标准报告实践记录发现的实际经验。 本项目作为更广泛的网络安全学习计划的一部分完成，该计划专注于SOC运营、威胁检测、事件响应和安全监控。

标签：防御加固