luquinhasup/Malware-Analysis-Sandbox-Lab
GitHub: luquinhasup/Malware-Analysis-Sandbox-Lab
一个基于多平台沙箱的恶意软件动态分析实验室,通过 OSINT 与行为分析结合 MITRE ATT&CK 框架映射,产出可操作的威胁检测策略。
Stars: 0 | Forks: 0
# 🦠 威胁情报实验室:沙箱中的恶意软件动态分析
## 🎯 项目目标
本实验室专注于通过基于 MD5 hash 的分析和在 *Sandboxing* 环境中的执行,对恶意文件进行深入调查。该项目展示了执行事件分诊、识别异常网络行为以及利用全球安全方法论映射攻击者行动的能力。
## 🛠️ 使用的工具和平台
本次调查采用了多工具方法(OSINT 和动态分析)来交叉比对数据并确认威胁的范围:
* **ANY.RUN:** 用于恶意软件的交互式动态分析。
* **Hybrid Analysis:** 用于详细检查和基于 Falcon Sandbox 的结果。
* **VirusTotal:** 用于对照多个防病毒引擎检查文件信誉。
* **MITRE ATT&CK Framework:** 用于威胁建模和制定防御策略。
## 📄 威胁执行摘要 (IoCs)
* **SHA-256 Hash:** `f2acabe2456f31a3126889be166ddf5c4bb22606b5653490c47417690f313b7b`
* **文件类型:** 用于 MS Windows 的 PE32 可执行文件 (Win32 EXE)。
* **分析结论:** **恶意**(AV 检出率为 94%,主要被分类为 `Trojan.Generic`)。
## 🔎 行为分析与影响
在隔离环境(Sandbox)中执行该文件揭示了其感染周期。
* **潜在影响:** 该文件具有在受感染主机上下载新恶意软件、执行未经授权的终端命令以及窃取组织敏感数据的关键能力。
* **网络通信:** 恶意软件与以下命令与控制 (C2) 地址建立了主动的外部通信:`xytets.com`。
## 🛡️ MITRE ATT&CK 映射与 Blue Team 策略
为了将检测转化为可供 SOC 使用的可操作情报,该文件的网络通信行为已根据 MITRE ATT&CK 框架进行了映射:
* **战术:** Command and Control (`TA0011`)。
* **技术:** 多阶段通道 / Multi-Stage Channels (`T1104`)。
* **建议的检测策略 (DET0228 / AN0637):** Blue Team 团队应进行监控并在 SIEM 中创建关联规则,重点关注初始进程与第一阶 C2 建立传出连接、接收 payload,随后创建代码或将代码注入尝试连接到不相关目的地(第二阶 C2)的第二个进程的时刻。
## 🛡️ MITRE ATT&CK 映射与 Blue Team 策略
为了将检测转化为可供 SOC 使用的可操作情报,该文件的网络通信行为已根据 MITRE ATT&CK 框架进行了映射:
* **战术:** Command and Control (`TA0011`)。
* **技术:** 多阶段通道 / Multi-Stage Channels (`T1104`)。
* **建议的检测策略 (DET0228 / AN0637):** Blue Team 团队应进行监控并在 SIEM 中创建关联规则,重点关注初始进程与第一阶 C2 建立传出连接、接收 payload,随后创建代码或将代码注入尝试连接到不相关目的地(第二阶 C2)的第二个进程的时刻。
标签:DAST, ESC4, OSINT, 威胁情报, 开发者工具, 恶意软件分析, 沙箱, 网络信息收集