kelogr/windows-malware-analysis-dfir-lab

# Windows 恶意软件分析与 DFIR 实验室    ## 1. 项目概述 **Windows Malware Analysis & DFIR Lab** 是一个版本化的个人实验室，专注于 **Blue Team、恶意软件分析和 DFIR**。 该项目的目标是逐步构建一个专业的环境，用于在 Windows 中分析可疑样本，首先从专注于 **恶意软件初步分析** 的初始版本开始，随后通过模拟网络、检测、内存分析、取证工件和基础逆向工程对其进行扩展。 当前版本 **v1.0 — 恶意软件初步分析基础**，基于对一个名为 `malware.exe` 的样本进行静态和动态分析，该样本在内部被标识为 `BitcoinBlackmailer.exe`。在分析过程中，观察到了与勒索软件或敲诈软件一致的行为，包括持久化、伪装成 Firefox、文件修改以及与 Bitcoin 相关的引用。 ## 2. 主要目标 构建一个隔离且文档完善的 Windows 实验室，以安全、循序渐进且专业的方式进行恶意软件分析。 该项目旨在回答以下问题： ## 3. 技术目标 * 准备一台隔离的 Windows 10 虚拟机作为受害机。 * 记录隔离控制和快照。 * 对可疑样本执行静态分析。 * 在受控环境中执行动态分析。 * 监控进程、注册表、文件系统和网络。 * 识别持久化、伪装和文件修改。 * 提取威胁指标。 * 使用 YARA 和 Sigma 创建初始防御检测。 * 整理工具生成的技术报告。 * 将实验室向内存分析、DFIR 和基础逆向工程方向演进。 * 为独立的 SOC 实验室准备技术基础。 ## 4. 版本规划 此仓库并非设计为一个单一的封闭案例，而是一个**不断演进的实验室**。 每个版本都会增加新功能： | 版本 | 名称 | 目标 | | -------- | -------------------------------- | ------------------------------------------------------------------------- | | **v1.0** | Malware Triage Base | 基础到中级的静态/动态分析 | | **v1.5** | Enhanced Malware Analysis | 增加 DIE、Noriben、FakeNet-NG 和增强的检测 | | **v2.0** | DFIR & Memory Extension | 增加 ProcDump、WinPmem、Volatility 3 和 Windows 取证工件 | | **v2.5** | Basic Reverse Engineering | 增加 Ghidra、CFF Explorer 和基础函数审查 | | **v3.0** | Full Malware Analysis & DFIR Lab | 整合完整分析、时间线、内存、MITRE 和高级报告 | ## 5. v1.0 范围 当前版本侧重于**基础到中级的恶意软件初步分析**的第一阶段。 ### v1.0 包含的内容 * 隔离的 Windows 10 机器。 * 已安装的基础分析工具。 * 可执行文件的静态分析。 * 受控的动态分析。 * 使用 Wireshark 捕获流量。 * 提取字符串和 IOC。 * 识别持久化机制。 * 初始 YARA 检测。 * 初始 Sigma 检测。 * 基础的 MITRE ATT&CK 映射。 * 该版本的技术报告。 * 按工具整理导出的报告。 * 演进路线图。 ### v1.0 不包含的内容 * Volatility 3。 * WinPmem。 * 深入使用 Ghidra。 * x64dbg。 * Zimmerman Tools。 * Wazuh。 * Chainsaw/Hayabusa。 这些元素被规划用于后续版本或独立的实验室。 ## 6. 实验室环境 | 组件 | 配置 | | ----------------------- | --------------------------------------------------- | | 操作系统 | Windows 10 Enterprise Evaluation | | 角色 | 受害机 | | 用户 | `analyst` | | 网络 | Host-only / 隔离 | | 互联网 | 执行期间无直接访问权限 | | 共享剪贴板 | 禁用 | | 拖拽 | 禁用 | | 共享文件夹 | 执行期间禁用 | | 杀毒软件 | 仅在隔离环境内禁用 | | .NET Framework | 启用 .NET Framework 3.5 和 4.x | | 基础快照 | `Windows10_Base_Tools` | | 执行前快照 | `Windows10_Post_Malware_Not_Executed` | 该虚拟机被配置为受害环境，避免了输入个人数据、真实凭据或敏感信息。 ## 7. v1.0 中使用的工具 | 类别 | 工具 | | ------------------------ | --------------------------- | | 环境验证 | Pafish | | 静态分析 | PE Studio, PEiD, ExeInfo PE | | 字符串提取 | Strings, FLOSS | | 进程 | Process Explorer | | 系统活动 | Process Monitor | | 持久化 | Autoruns | | 注册表 | Regshot | | 网络 | Wireshark | | 实用程序 | 7-Zip | | 检测 | YARA, 基础 Sigma | ## 8. v1.0 技术摘要 v1.0 基于对一个名为 `malware.exe` 的样本进行分析。 在静态分析期间识别出： * PE32 文件类型。 * x86 / 32 位架构。 * 可能使用了 .NET。 * 内部名称 `BitcoinBlackmailer.exe`。 * 关于加密和解密的引用。 * 勒索信息。 * 通过 `http://btc.blockr.io/api/v1/` 引用 Bitcoin。 * 可能存在的与 ConfuserEx 兼容的混淆迹象。 在动态分析期间观察到： * `malware.exe` 的初始执行。 * 创建持久化副本为 `firefox.exe`。 * 创建子进程 `drpbx.exe`。 * 通过 HKCU 中的 Run 键实现持久化。 * 伪装成 Firefox。 * 修改测试文件，重命名为 `test.txt.fun`。 * 在网络捕获期间没有有效的对外通信。 ## 9. 主要发现 | 发现 | 描述 | | -------------------- | --------------------------------------------------- | | 行为 | 与勒索软件/敲诈软件一致 | | 内部名称 | `BitcoinBlackmailer.exe` | | 持久化 | HKCU 中的 Run 键 | | 伪装 | 使用 Firefox 的名称和描述 | | 持久化文件 | `C:\Users\analyst\AppData\Roaming\Frfx\firefox.exe` | | 子进程 | `drpbx.exe` | | 受影响文件 | `test.txt.fun` | | 添加的扩展名 | `.fun` | | 静态 URL | `http://btc.blockr.io/api/v1/` | | 对外通信 | 捕获期间未观察到 | | 可能的混淆 | 与 ConfuserEx 兼容的指标 | ## 10. v1.0 指标 * 配置了 1 台 Windows 10 受害机。 * 1 个文档完善的隔离环境。 * 执行了 1 次静态分析。 * 执行了 1 次动态分析。 * 记录了 1 次网络分析。 * 使用了 10+ 个工具。 * 提取了 15+ 个 IOC。 * 1 条初始 YARA 规则。 * 1 条初始 Sigma 规则。 * 1 个基础的 MITRE ATT&CK 映射。 * 1 份该版本的技术报告。 * 按工具整理的报告。 ## 11. 仓库结构 ``` windows-malware-analysis-dfir-lab/ ├── README.md ├── docs/ │ ├── lab_setup.md │ ├── methodology.md │ ├── network_isolation.md │ ├── roadmap.md │ └── tools.md ├── versions/ │ ├── v1.0-malware-triage-base/ │ │ ├── README.md │ │ ├── static_analysis.md │ │ ├── dynamic_analysis.md │ │ ├── network_analysis.md │ │ ├── iocs.md │ │ ├── mitre_mapping.md │ │ ├── findings_summary.md │ │ └── reports/ │ ├── v1.5-enhanced-malware-analysis/ │ ├── v2.0-dfir-memory-extension/ │ ├── v2.5-basic-reverse-engineering/ │ └── v3.0-full-malware-analysis-dfir/ ├── detections/ │ ├── yara/ │ └── sigma/ ├── scripts/ ├── playbooks/ ├── .gitignore └── LICENSE ``` ## 12. 报告组织 工具生成的报告和导出文件存储在相应的版本目录中。 在 v1.0 中，`reports/` 文件夹按工具进行组织： ``` reports/ ├── pe_studio/ ├── peid/ ├── exeinfo_pe/ ├── strings/ ├── floss/ ├── pafish/ ├── process_monitor/ ├── process_explorer/ ├── autoruns/ ├── regshot/ └── wireshark/ ``` 这种分离允许将主要的分析保留在 Markdown 中，并将每个工具的技术结果作为实验室的支持材料保存下来。 ## 13. 与第二个实验室的关系 该实验室将作为面向 SOC 检测和调查的第二个独立项目的基础。 在此 v1.0 中观察到的 IOC 和行为可被重复利用于创建： * Sigma 规则。 * Wazuh 规则。 * Splunk 中的搜索。 * SIEM 中的警报。 * SOC 调查。 * 分类处置手册。 * MITRE ATT&CK 映射。 * 遏制建议。 ## 14. 安全声明 此仓库不包含恶意软件样本、可执行文件、内存转储、敏感 PCAP 文件或凭据。 所有内容均出于教育、防御和技术文档的目的而发布。

标签：DAST, DNS 反向解析, YARA, 云资产可视化, 安全实验室, 恶意软件分析, 数字取证, 自动化脚本