MazenJ200/malware-analysis-agent-tesla-rat

GitHub: MazenJ200/malware-analysis-agent-tesla-rat

针对 Agent Tesla RAT 样本的完整静态与动态恶意软件分析报告,包含 IOC、MITRE ATT&CK 映射及详细证据。

Stars: 0 | Forks: 0

# 恶意软件分析,`Attacker.BIN` (Agent Tesla RAT) 对一个真实世界恶意软件样本的静态和动态分析,为**逆向工程与恶意软件分析,PBL 任务 3**(网络安全系,2025–2026 学年第二学期)完成。 **分析师:** Mazen · Hamzeh Amireh **样本家族:** Agent Tesla (VB.NET 键盘记录器 / 凭据窃取器) ## 样本概览 | 属性 | 值 | |---|---| | 文件 | `Attacker.BIN` (484 KB / 495,616 字节) | | SHA256 | `A850DE0705C0F6095910AA1D5ED0E73A49581AA7427FCFAF2FF5144E93B047C1` | | MD5 | `DC4200AC514006F084EAD7F83B84C928` | | 类型 | 32位 (WOW64) **VB.NET** PE 可执行文件 | | VirusTotal | 63 / 72 引擎 | | 家族 | Agent Tesla (信息窃取器) | | 严重程度 | **高 / 严重** | ## 核心发现 **静态分析** (`Static_Malware.docx`) - .NET assembly (`mscoree.dll`);键盘记录 API 链 `GetKeyboardState → MapVirtualKey → ToUnicodeEx`,以及 `GetForegroundWindow` / `GetWindowText`。 - 硬编码的 C2 URL 和针对凭据的字符串(`EncPassword`,JDownloader `cfg\database.script`)。 - VirusTotal 63/72,证实这是一个已知的窃取器。 **动态分析** (`Dynamic_Analysis_Report.md`) - 作为**提权后的 32 位托管 VB.NET 进程**运行,通过伪造的 PE 版本信息**伪装**为 "MiniTool Power Data Recovery / MiniTool Solution Ltd."。 - **在运行时确认了凭据窃取**行为,读取 FileZilla(`recentservers.xml`、`sitemanager.xml`)、`HKCU\Software\Paltalk` 以及 `HKCU\Software\IMVU\username`。 - 配置 `System.Net.ServicePointManager` TLS,表明**通过 HTTPS 进行 C2 数据外传**;在分析时已**验证该活跃 C2 endpoint 不可达**(已离线/已 sinkhole)。 - 如实说明的缺口:未能捕获键盘记录文件的写入和自启动持久化(本次运行未观察到持久化行为)。 ## 入侵指标 (IOC) (已降险处理) | 类型 | 指标 | |---|---| | SHA256 | `A850DE0705C0F6095910AA1D5ED0E73A49581AA7427FCFAF2FF5144E93B047C1` | | MD5 | `DC4200AC514006F084EAD7F83B84C928` | | C2 主机 | `ziraat-helpdesk[.]com` | | C2 URL | `hxxp://ziraat-helpdesk[.]com/components/com_content/limpopapa/` | | 伪装目标 | "MiniTool Power Data Recovery - Bootable Media Builder 4.1.1.0" | | 凭据目标 | FileZilla XML, Paltalk, IMVU, JDownloader | ## MITRE ATT&CK (已观察到) `T1036.005` Masquerading · `T1555` Credentials from Password Stores · `T1552.001` Credentials in Files · `T1056.001` Keylogging (capability) · `T1071.001` / `T1041` C2 & Exfiltration over web protocols. ## 仓库内容 | 文件 | 描述 | |---|---| | `README.md` | 本概述 | | `Static_Malware.docx` | 完整的静态分析报告 | | `Dynamic_Analysis_Report.md` | 完整的动态分析报告(包含截图操作步骤,可在 GitHub 上渲染) | | `Dynamic_Analysis_Report.docx` | 与动态报告相同的 Word 文档版本 | | `Malware_Screenshots/` | 动态报告引用的证据截图 + Regshot diff | **未包含(故意为之):** 活跃样本、`.pcap` 捕获文件和原始内存转储。 ## 实验环境 隔离的 Windows 10 虚拟机(64 位),运行期间禁用 Defender,受控网络环境。工具:Process Monitor、Process Explorer、System Informer、Wireshark、Regshot、pestudio。 ## ⚠️ 请勿提交 ``` # 切勿提交活体恶意软件或其原始捕获文件 *.bin *.exe attacker* *.pcap *.pcapng *.PML ```
标签:DAST, DNS 解析, HTTP工具, IP 地址批量处理, 云资产清单, 合规性检查, 多人体追踪, 威胁情报, 开发者工具, 恶意软件分析, 教育项目, 逆向工程