Mohammed-11cyber/Agent-Tesla-Malware-Analysis

# 代理-Tesla-恶意软件分析 使用 Virustotal 和 ANY.RUN 沙盒遥测来映射进程活动、持久性和 SMTP 数据泄露，评估 Agent Tesla 信息窃取木马变体（SHA256：1adc29f30b30e301...）的恶意行为分析。 # 恶意软件分析：Agent Tesla 信息窃取木马的三级评估和行为调查 ## 项目描述 本事件分析报告记录了对一个被识别为 Agent Tesla 恶意软件家族信息窃取木马（[引用：9]）的恶意独立可执行文件的行为三级评估。利用结合的分析管道——利用 VirusTotal 进行静态威胁情报检查和利用 ANY.RUN 交互式沙盒平台进行动态执行跟踪——我分析了样本，以映射其进程运行时树，评估其防御规避策略，隔离其端点持久性钩子，并拦截其网络泄露管道[引用：9]。 ## 威胁情报与技术指标 * **分析样本哈希（SHA256）：** `1adc29f30b30e301acefe1b46bbbd7a4f3a76c3708ab842199e95f8f5f053244`[引用：9] * **文件分类：** PE32 可执行文件 (.NET Framework)，x86 架构[cite: 9] * **分析架构：** 通过 VirusTotal（静态情报）和 ANY.RUN（交互式动态沙盒）进行双平台三级评估[cite: 9] ## 重建恶意软件运行时生命周期 ### 1. 进程树谱系与规避策略 在执行过程中，主要独立二进制文件触发一系列子进程以执行其有效负载，同时努力规避检测规则[cite: 9]。观察到可执行文件与合法的 Windows 服务框架（`svchost.exe`）交互，明确地试图伪装成无害的背景系统活动，与默认操作系统基线混合[cite: 9]。进程上下文还利用通用的命令行界面宿主（`conhost.exe`）来执行核心内部脚本参数，而不会警告用户控制台[cite: 9]。 ### 2. 策略性端点持久性 为了防止在端点重启或用户注销会话后失去控制，恶意软件立即注册一个永久性的结构立足点[cite: 9]。运行时遥测捕获了主要进程调用本机 Windows 任务计划程序二进制文件 `schtasks.exe`[cite: 9]。执行参数建立了一个指向核心二进制的未经授权的自动调度触发器，确保在主机系统上持续生存和后台重新执行[cite: 9]。 ### 3. 环境部署与网络泄露 威胁行为者直接从用户配置文件目录中部署操作文件，具体使用路径 `C:\Users\admin\AppData\Local\Temp` 来绕过权限执行控制并存储执行元素[cite: 9]。 一旦建立基线权限，恶意软件执行本地侦察并启动外部出站[cite: 9]。捕获的套接字连接到 `ip-api.com` 以收集有关受侵害端点的地理和网络细节[cite: 9]。在成功收集主机数据后，网络遥测记录了直接泄露尝试，将敏感数据集有效负载通过端口 587（安全 SMTP）路由到外部部署服务器（`us2.smtp.mailhostbox.com`）[cite: 9]。 ## 法医结论 三级评估验证了现代凭证收集威胁的签名操作。通过依赖本机系统工具（`schtasks.exe`）以生存和合法通信层（SMTP 电子邮件流量）以出站传输，木马避免了触发基本的基于签名的外围警报[cite: 9]。补救策略需要部署严格的内部端点行为规则，并配以紧密的外出邮件代理监控策略。 ## 完整技术案例文件 PDF 完整的、附图的恶意软件报告——包括动态进程树映射图、精确执行时间线记录、文件位置指标和原始目标 IP 字符串——完全托管在本存储库中[cite: 9]。 请直接从上面的文件资源管理器视图下载完整的 PDF 报告以阅读完整的行为分析！

标签：Agent Tesla, ANY.RUN, DAST, PE文件, SMTP数据泄露, Virustotal, x86架构, 云安全监控, 信息窃取木马, 威胁响应, 威胁情报, 安全运营, 开发者工具, 恶意行为, 恶意软件分析, 扫描框架, 沙箱分析, 私有化部署, 进程活动, 防御规避, 静态分析