SaiVatsal/Test-Malware-for-my-security-Reasons

# 蜜罐恶意软件研究档案（模拟） ## 项目概述 本仓库提供了一个结构化且可安全共享的档案布局，用于镜像实时蜜罐恶意软件收集系统。当前包含的所有样本文件均为**无害的基于文本的占位符**，以确保该仓库可安全地用于公开发布、教学及格式测试。 真实的安全分析师可以使用此仓库结构，通过将占位符 `.vir` 文件替换为自己经过安全处理且受密码保护的压缩包（例如，使用行业标准密码 `infected` 压缩），来对真实的恶意软件活动进行编目。 ## 蜜罐收集详情 此处记录的数据和元数据模型代表了从在不同地理区域运行的多个分布式蜜罐系统收集的遥测数据： - **US-EAST-01**：捕获针对 Windows 服务（如 SMB/445）的广泛漏洞扫描。 - **EU-CENTRAL-01**：模拟易受攻击的工业控制系统（ICS）和 Web 管理界面。 - **AP-NORTHEAST-02**：监控 SSH/RDP 暴力破解端点，收集木马投放 payload 和加密挖矿程序。 ### 分类与基于哈希的命名 当蜜罐传感器首次捕获时，许多样本是未识别的，或者带有通用的 AV 名称（例如 `Win32.Trojan.Generic`）。 - 在此档案中，未识别或新捕获的样本最初存储在 `unknown/` 目录下，直接以它们的 **SHA-256 哈希值**命名。 - 一旦静态或动态分析确认了其家族谱系（例如 WannaCry、TrickBot、EternalRocks），它们就会被移动到各自的家族目录下，位于以它们的 SHA-256 哈希值标记的子目录中。 - 鼓励分析师记录他们的发现，并随着时间的推移更新本地的 `metadata.json` 和 `analysis.md` 日志，从而将样本的状态从“分诊”过渡到“已完成”。 ## 仓库结构与命名约定 ``` ├── .gitignore # Prevents accidental commits of active payloads ├── README.md # This master research documentation ├── templates/ │ ├── metadata_template.json # Template for JSON metadata (including MITRE ATT&CK) │ └── analysis_template.md # Template for markdown analysis reports │ ├── [category_or_family]/ # Organized by malware type/family (e.g., ransomware, trojans, worms) │ └── [family_name]/ # Specific malware family folders (e.g., wannacry, trickbot) │ └── [SHA-256_HASH]/ # Individual sample directory (named by SHA-256) │ ├── sample.vir # Safe placeholder file (swap-in location for real payload) │ ├── metadata.json # JSON metadata for the sample │ └── analysis.md # Detailed analyst notes and investigation reports ``` ### 替换为真实样本 若要安全地替换为真实样本以进行活动分析： 1. 使用行业标准密码 **`infected`** 将恶意文件打包成受密码保护的 ZIP 压缩包。 2. 将 ZIP 内部的恶意文件重命名为以 `.vir` 扩展名结尾（例如 `payload.vir`），以防止意外执行。 3. 将 ZIP 文件作为 `sample.zip` 保存在特定的 SHA-256 哈希文件夹中。 4. 使用活动的调查结果更新本地的 `metadata.json` 和 `analysis.md` 文件。 ## 档案目录导航与状态 | 类别 / 家族 | 描述 | 样本数量 | 主要协议 | | :--- | :--- | :--- | :--- | | [ransomware/wannacry](file:///c:/Antigravity/MAlware/ransomware/wannacry) | 使用 EternalBlue 漏洞的 WannaCry 勒索软件变种。 | 1 | SMB/445 | | [worms/eternalrocks](file:///c:/Antigravity/MAlware/worms/eternalrocks) | 利用多个 NSA 漏洞的 EternalRocks 蠕虫。 | 1 | SMB/445 | | [trojans/trickbot](file:///c:/Antigravity/MAlware/trojans/trickbot) | TrickBot 银行木马及下载器。 | 1 | HTTP/80, HTTPS/443 | | [spam_bots](file:///c:/Antigravity/MAlware/spam_bots) | 通用垃圾邮件分发 payload。 | 1 | SMTP/25, HTTP/80 | | [miners](file:///c:/Antigravity/MAlware/miners) | Monero 及其他加密货币挖矿程序。 | 1 | HTTP/80, Stratum/4444 | | [unknown](file:///c:/Antigravity/MAlware/unknown) | 从 SSH / FTP 蜜罐捕获的未识别 payload。 | 1 | 各种 | ## 交互式恶意软件沙箱 Web 模拟器 本仓库包含一个基于 Web 的交互式沙箱模拟器，用于直观演示已编目恶意软件的执行行为。 * **位置：** [simulator/index.html](file:///c:/Antigravity/MAlware/simulator/index.html) * **访问模拟器：** 双击 `index.html` 文件或在任何标准 Web 浏览器中打开它以启动界面。 ### 模拟器功能： 1. **交互式模拟桌面**：访问诸如 `instructions.txt` 或 `revenue_chart.png` 等模拟文件。双击任何文件都会触发 **1 秒的沙箱分析延迟**。 2. **Pikachu 与 Ash 加载动画**：在 1 秒的文件打开延迟期间，会播放一个自定义绘制的 HTML5 Canvas 动画循环，展示 **Ash Ketchum 追赶 Pikachu**（象征着文件检索和沙箱扫描操作）。 3. **行为模拟**： - **WannaCry**：模拟命令控制台脚本，随后在所有桌面文件上显示视觉锁定图标，将其重命名为 `.WNCRY` 扩展名，并启动 WannaCatchDecryptor 勒索界面。 - **XMRig 挖矿程序**：将模拟的 CPU 指示器飙升至 100% 并触发过热警告。 - **垃圾邮件机器人**：运行活动的发件箱 SMTP 中继模拟器，记录已发送的邮件。 - **EternalRocks**：触发 7 个 SMB/RDP NSA 漏洞的逐步注入。 4. **还原状态**：随时点击 **Reset Sandbox VM** 按钮，即可立即将桌面恢复到其纯净状态。 ## MITRE ATT&CK 映射策略 每个样本在其 `metadata.json` 中都包含一个 `mitre_attack_mapping` 部分，用于跟踪观察到的战术和技术。在这些捕获中监测的主要战术包括： - **Initial Access**：偷渡式妥协、网络钓鱼、外部服务利用。 - **Execution**：命令和脚本解释器（PowerShell、WMI）。 - **Persistence**：注册表运行键、计划任务、服务创建。 - **Lateral Movement**：远程服务利用（例如，SMB 漏洞）。 - **Impact**：为了影响的数据加密（勒索软件）、资源劫持（挖矿程序）。 ## 如何贡献分析笔记 1. 为目标样本哈希或家族创建一个分支。 2. 如果这是一个新样本，请生成其 SHA-256 哈希值，并在正确的恶意软件类别下创建一个与模板匹配的目录。 3. 使用 `templates/` 文件夹中的模板填写 `metadata.json` 和 `analysis.md`。 4. 提交 Pull Request 供同行分析师审查。

标签：DAST, Homebrew安装, PE 加载器, XXE攻击, 威胁情报, 开发者工具, 恶意软件分析, 数据可视化, 模板项目, 蜜罐, 证书利用, 防御加固