Dustpipe99/flarevm-malware-lab

# FlareVM 恶意软件分析实验室 ## 概述 旨在从头开始理解恶意软件行为——因为 从未分析过恶意软件的检测工程师所编写的规则 往往会遗漏细节。理解二进制文件底层的实际行为， 比仅仅阅读日志更能让你成为一名优秀的检测工程师。 ## 环境架构 ┌─────────────────────────────────────────────────────┐ │ 隔离网络 │ │ │ │ ┌─────────────────────┐ ┌──────────────────────┐ │ │ │ FlareVM │ │ Lubuntu Sniffer VM │ │ │ │ Windows 10 │──▶│ inetsim │ │ │ │ 分析机 │ │ 虚拟互联网服务│ │ │ │ │ │ Wireshark 抓包 │ │ │ └─────────────────────┘ └──────────────────────┘ │ │ │ │ ⚠️ 仅主机网络模式 — 零活动互联网暴露│ └─────────────────────────────────────────────────────┘ ## 已安装工具 ### 静态分析 | 工具 | 用途 | |---|---| | PEStudio | PE 文件检查，IOC 提取 | | PE-bear | PE 结构分析 | | Detect-It-Easy (DIE) | 壳和编译器检测 | | CFF Explorer | PE 头编辑和分析 | | FLOSS | 从二进制文件中提取混淆字符串 | ### 动态分析 | 工具 | 用途 | |---|---| | x64dbg | 用于动态分析的调试器 | | Procmon | 进程、文件、注册表监控 | | Wireshark | 网络流量捕获 | | inetsim | 虚拟互联网服务 (DNS, HTTP, SMTP) | | Regshot | 注册表快照比较 | ### 威胁情报 | 工具 | 用途 | |---|---| | MalwareBazaar | 样本库 | | VirusTotal | 多引擎扫描 | | Any.run | 交互式沙箱参考 | ## 分析方法论 ### 静态分析工作流 1- 对样本进行哈希处理 (MD5, SHA256) 2- 检查 VirusTotal 3- Detect-It-Easy — 识别加壳器/编译器 4- PEStudio — 检查导入表、字符串、节区 5- FLOSS — 提取混淆字符串 6- 记录 IOC ### 动态分析工作流 1- 执行前对虚拟机进行快照 2- 启动 Procmon、Wireshark、inetsim 3- 执行样本 5- 观察：进程创建、文件释放、 注册表更改、网络连接 6- 记录行为 7- 恢复虚拟机快照 ## 已分析样本 | 样本类型 | 来源 | 关键发现 | 检测机会 | |---|---|---|---| | RAT | MalwareBazaar | 通过 HTTP 进行 C2 信标请求，进程注入 | 可疑的出站连接，异常的子进程 | | NSIS 安装程序 | MalwareBazaar | 误报调查 — 合法的安装程序行为 | 记录了 PUP 与恶意软件的分类方法 | ## 关键学习 - PE 文件格式结构及其表明恶意意图的异常特征 - 如何在动态分析中区分恶意行为和良性行为 - 从 pcap 捕获文件中提取网络 IOC - 加壳检测如何改变分析方法 - 恶意软件行为如何直接映射到 MITRE ATT&CK 技术 - 理解恶意软件如何有助于编写更好的检测规则 ## 检测交叉应用 这里分析的每个样本都可映射回检测工程： | 恶意软件行为 | MITRE 技术 | 检测规则机会 | |---|---|---| | 进程注入 | T1055 | Sysmon Event ID 8 (CreateRemoteThread) | | C2 HTTP 信标请求 | T1071.001 | 定期进行的异常出站 HTTP 请求 | | 注册表持久化 | T1547.001 | 在 Run/RunOnce 路径中创建注册表键 | | 可疑的子进程 | T1059 | Sysmon Event ID 1 — 异常的父/子进程关系 | ## 课程参考 基于 Heath Adams (TCM Security) 的 **PMAT — Practical Malware Analysis & Triage** 构建 - 课程：tcm-sec.com - 涵盖内容：静态分析、动态分析、反分析 技术以及报告编写 ## 路线图 - [ ] 分析更多的 RAT 家族 (AsyncRAT、NjRAT) - [ ] 为每个样本编写完整的分析报告 - [ ] 将所有分析的样本映射到 MITRE ATT&CK Navigator - [ ] 添加自动化 IOC 提取脚本 (Python) - [ ] 将发现与家庭 SOC 实验室的检测结果进行交叉比对 ## ⚠️ 安全提示 所有样本均在具有仅主机网络模式的隔离虚拟机环境中进行分析。 没有恶意软件被存储或在沙盒化的 FlareVM 实例外执行。切勿 在主机或任何连接到网络的系统上运行恶意软件样本。 ## 许可证 MIT

标签：DAST, FlareVM, 云安全监控, 云资产清单, 恶意软件分析, 自定义密码套件, 逆向工具, 逆向工程, 静态分析