ag48665/Malware-Analysis-Lab

# 恶意软件分析实验室 ## 概述 本项目演示了在受控且安全的实验室环境中进行的结构化恶意软件分析工作流。 该实验室的目标是记录静态分析技术，识别入侵指标 (IOC)，创建 YARA 检测规则，将发现映射到 MITRE ATT&CK，并为安全团队提供防御建议。 ## 实验室安全 本代码仓库不包含任何活体的恶意软件样本。 所有示例、指标和工件仅供教育和防御性网络安全目的使用。 ## 环境 | 组件 | 详情 | | ----------- | ------------------ | | 操作系统 | Windows 11 | | 分析类型 | 静态分析 (Static Analysis) | | 检测框架 | MITRE ATT&CK | | 检测规则 | YARA | | SIEM 集成 | Splunk Enterprise | ## 仓库结构 ``` Malware-Analysis-Lab │ ├── README.md │ ├── reports │ ├── sample_analysis_report.md │ └── mitre_mapping.md │ ├── indicators │ └── ioc_report.md │ ├── yara-rules │ ├── suspicious_powershell.yar │ └── account_discovery.yar │ ├── sigma │ └── powershell_detection.yml │ ├── screenshots │ └── samples ``` ## 分析工作流 1. 收集样本元数据 2. 计算文件哈希 3. 检查文件属性 4. 提取可疑字符串 5. 识别入侵指标 6. 将发现映射到 MITRE ATT&CK 7. 创建 YARA 检测规则 8. 记录防御建议 ## 分析报告 仓库中提供了详细的分析文档： * 样本分析报告 * MITRE ATT&CK 映射 * IOC 报告 ## 入侵指标 分析过程包括识别以下内容： * 文件哈希 (MD5, SHA256) * 可疑字符串 * 命令执行工件 * PowerShell 活动 * 账户发现指标 * 潜在的攻击者行为 ## YARA 规则 该仓库包含自定义的 YARA 检测规则，旨在识别可疑的活动模式，包括： * PowerShell 执行 * 账户发现命令 * 可疑的命令行行为 ## MITRE ATT&CK 覆盖范围 | 技术 ID | 技术 | | ----------- | --------------------- | | T1059.001 | PowerShell | | T1059.003 | Windows 命令行解释器 (Command Shell) | | T1087 | 账户发现 (Account Discovery) | | T1105 | 入侵工具传输 (Ingress Tool Transfer) | ## 防御建议 * 监控 PowerShell 执行活动 * 监控命令行解释器的使用 * 在各个端点上部署 YARA 签名 * 开发 Sigma 检测规则 * 实施 IOC 监控 * 将检测集成到 SIEM 平台中 * 持续验证检测覆盖率 ## 展示技能 * 恶意软件分析基础 * 静态分析 * IOC 提取 * YARA 规则开发 * 检测工程 * 威胁情报概念 * MITRE ATT&CK 映射 * 事件响应文档编写 * 蓝队运营 * 安全监控 ## 关键要点 * 有效的恶意软件分析始于结构化的文档记录。 * YARA 规则为可疑工件提供了可扩展的检测机制。 * IOC 提取支持威胁狩猎和事件响应活动。 * 将发现映射到 MITRE ATT&CK 可以改善对攻击者行为的理解。 * 检测工程与恶意软件分析是紧密相连的学科。 ## 作者 **Agata Gabara** 网络安全分析师 | SOC 分析师 | 威胁狩猎者 GitHub: https://github.com/ag48665

标签：DAST, YARA, 云安全监控, 云资产可视化, 威胁情报, 开发者工具, 恶意软件分析, 管理员页面发现, 静态分析