Anugrahkv/Advanced-Malware-Analysis---AnyRun
GitHub: Anugrahkv/Advanced-Malware-Analysis---AnyRun
一份基于 Any.Run 沙箱的高级恶意软件动态分析报告,完整记录了从恶意 Word 文档引爆到 C2 基础设施提取的实战调查流程。
Stars: 0 | Forks: 0
# 高级恶意软件分析:行为引爆与 C2 提取
**作者:** Anugrah Kizhakke Veedu
## 执行摘要
针对来源于开源威胁情报(OSINT)仓库的一个实战武器化恶意软件样本进行了调查。目标是在隔离的云沙箱中安全地引爆 payload,以映射 runtime 执行图,分析进程行为,并提取可操作的入侵指标。
## 威胁概况
* **分析平台:** Any.Run 交互式沙箱
* **环境:** Windows 10 x64
* **威胁分类:** 高危恶意活动
* **主要攻击媒介:** 恶意 Microsoft Word 文档(启用宏)
## 行为分析与进程树
执行并启用文档内容后,payload 启动了进程注入序列,以执行主要的恶意软件二进制文件。执行链表现如下:
1. **初始攻击媒介:** `WINWORD.EXE` 处理该恶意文档。
2. **Payload 释放:** 文档宏提取并生成恶意子进程 `ai.exe`。
3. **网络信标:** `ai.exe` 向外部命令与控制(C2)服务器发起出站流量,并试图使用伪造的 Microsoft Dr Watson User-Agent 来伪装其信标。
## 入侵指标
* **启动恶意软件二进制文件:** `ai.exe`
* **命令与控制(C2)IP:** 48[.]209[.]138[.]189
* **目标端口:** 443 (HTTPS)
* **触发的 Suricata IDS 特征:** `ET USER_AGENTS Microsoft Dr Watson User-Agent (MSDW)`
## 遥测与可视化证据
*Figure 1: Any.Run sandbox displaying the active process tree and malicious binary execution.*
*Figure 2: Verified Suricata Network Threat detection highlighting the spoofed User-Agent and C2 IP.*
## 官方取证报告与 MITRE ATT&CK 映射
* [查看完整的沙箱引爆报告 (PDF)](https://github.com/user-attachments/files/29040513/Malware.analysis.pdf)
* [查看 MITRE ATT&CK TTP 映射摘要 (PDF)](https://github.com/user-attachments/files/29040524/any.run.report.MITRE.ATT.CK.pdf)
*Figure 1: Any.Run sandbox displaying the active process tree and malicious binary execution.*
*Figure 2: Verified Suricata Network Threat detection highlighting the spoofed User-Agent and C2 IP.*
## 官方取证报告与 MITRE ATT&CK 映射
* [查看完整的沙箱引爆报告 (PDF)](https://github.com/user-attachments/files/29040513/Malware.analysis.pdf)
* [查看 MITRE ATT&CK TTP 映射摘要 (PDF)](https://github.com/user-attachments/files/29040524/any.run.report.MITRE.ATT.CK.pdf)标签:DAST, IoC提取, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 搜索语句(dork), 沙箱逃逸检测, 逆向工程