MazenJ200/malware-analysis-agent-tesla-rat
GitHub: MazenJ200/malware-analysis-agent-tesla-rat
针对 Agent Tesla RAT 样本的完整静态与动态恶意软件分析报告,包含 IOC、MITRE ATT&CK 映射及详细证据。
Stars: 0 | Forks: 0
# 恶意软件分析,`Attacker.BIN` (Agent Tesla RAT)
对一个真实世界恶意软件样本的静态和动态分析,为**逆向工程与恶意软件分析,PBL 任务 3**(网络安全系,2025–2026 学年第二学期)完成。
**分析师:** Mazen · Hamzeh Amireh
**样本家族:** Agent Tesla (VB.NET 键盘记录器 / 凭据窃取器)
## 样本概览
| 属性 | 值 |
|---|---|
| 文件 | `Attacker.BIN` (484 KB / 495,616 字节) |
| SHA256 | `A850DE0705C0F6095910AA1D5ED0E73A49581AA7427FCFAF2FF5144E93B047C1` |
| MD5 | `DC4200AC514006F084EAD7F83B84C928` |
| 类型 | 32位 (WOW64) **VB.NET** PE 可执行文件 |
| VirusTotal | 63 / 72 引擎 |
| 家族 | Agent Tesla (信息窃取器) |
| 严重程度 | **高 / 严重** |
## 核心发现
**静态分析** (`Static_Malware.docx`)
- .NET assembly (`mscoree.dll`);键盘记录 API 链 `GetKeyboardState → MapVirtualKey → ToUnicodeEx`,以及 `GetForegroundWindow` / `GetWindowText`。
- 硬编码的 C2 URL 和针对凭据的字符串(`EncPassword`,JDownloader `cfg\database.script`)。
- VirusTotal 63/72,证实这是一个已知的窃取器。
**动态分析** (`Dynamic_Analysis_Report.md`)
- 作为**提权后的 32 位托管 VB.NET 进程**运行,通过伪造的 PE 版本信息**伪装**为 "MiniTool Power Data Recovery / MiniTool Solution Ltd."。
- **在运行时确认了凭据窃取**行为,读取 FileZilla(`recentservers.xml`、`sitemanager.xml`)、`HKCU\Software\Paltalk` 以及 `HKCU\Software\IMVU\username`。
- 配置 `System.Net.ServicePointManager` TLS,表明**通过 HTTPS 进行 C2 数据外传**;在分析时已**验证该活跃 C2 endpoint 不可达**(已离线/已 sinkhole)。
- 如实说明的缺口:未能捕获键盘记录文件的写入和自启动持久化(本次运行未观察到持久化行为)。
## 入侵指标 (IOC) (已降险处理)
| 类型 | 指标 |
|---|---|
| SHA256 | `A850DE0705C0F6095910AA1D5ED0E73A49581AA7427FCFAF2FF5144E93B047C1` |
| MD5 | `DC4200AC514006F084EAD7F83B84C928` |
| C2 主机 | `ziraat-helpdesk[.]com` |
| C2 URL | `hxxp://ziraat-helpdesk[.]com/components/com_content/limpopapa/` |
| 伪装目标 | "MiniTool Power Data Recovery - Bootable Media Builder 4.1.1.0" |
| 凭据目标 | FileZilla XML, Paltalk, IMVU, JDownloader |
## MITRE ATT&CK (已观察到)
`T1036.005` Masquerading · `T1555` Credentials from Password Stores · `T1552.001` Credentials in Files · `T1056.001` Keylogging (capability) · `T1071.001` / `T1041` C2 & Exfiltration over web protocols.
## 仓库内容
| 文件 | 描述 |
|---|---|
| `README.md` | 本概述 |
| `Static_Malware.docx` | 完整的静态分析报告 |
| `Dynamic_Analysis_Report.md` | 完整的动态分析报告(包含截图操作步骤,可在 GitHub 上渲染) |
| `Dynamic_Analysis_Report.docx` | 与动态报告相同的 Word 文档版本 |
| `Malware_Screenshots/` | 动态报告引用的证据截图 + Regshot diff |
**未包含(故意为之):** 活跃样本、`.pcap` 捕获文件和原始内存转储。
## 实验环境
隔离的 Windows 10 虚拟机(64 位),运行期间禁用 Defender,受控网络环境。工具:Process Monitor、Process Explorer、System Informer、Wireshark、Regshot、pestudio。
## ⚠️ 请勿提交
```
# 切勿提交活体恶意软件或其原始捕获文件
*.bin
*.exe
attacker*
*.pcap
*.pcapng
*.PML
```
标签:DAST, DNS 解析, HTTP工具, IP 地址批量处理, 云资产清单, 合规性检查, 多人体追踪, 威胁情报, 开发者工具, 恶意软件分析, 教育项目, 逆向工程