emirghdiri/Behavioural-Analysis-of-Formbook-Malware

# 🦠 Formbook 恶意软件行为分析 **作者：** Amir Ghdiri **样本：** Formbook Infostealer **MD5：** `4791ea6d0bad82c6a3282a162fdc825a` **SHA256：** `70b469b8018947ea2bb648a030f8cb5f7f3412be30e2742050c8e0ddba531599` ## 📋 目录 - [关于 Formbook](#about-formbook) - [实验环境搭建](#lab-setup) - [自动化分析](#automated-analysis) - [静态分析](#static-analysis) - [动态分析](#dynamic-analysis) - [结果总结](#results-summary) ## 🔍 关于 Formbook Formbook 是一种著名的 **infostealer** 恶意软件，主要针对 Windows 系统。其运作方式如下： 1. **系统感染** — 通过带有恶意附件的钓鱼邮件 2. **进程注入** — 注入到合法进程（例如 `explorer.exe`）以规避检测 3. **用户活动监控** — 键盘记录、屏幕截图、剪贴板监控 4. **数据收集** — 密码、银行信息、Cookie、加密钱包 5. **数据外泄** — 将窃取的数据发送至 C2 (Command & Control) 服务器  ## 🛠️ 实验环境搭建 | 组件 | 工具 | |---|---| | 分析机 | REMnux | | 受害机 | Windows 10 VM | | 沙箱 | CAPEv2（基于 Cuckoo Sandbox） | | Hypervisor | VMware Workstation | | 代理 | 部署在 Windows VM 上的 CAPEv2 Agent | ## 🤖 自动化分析 自动化分析使用了两个在线平台进行：**VirusTotal** 和 **Hybrid-Analysis**。 ### VirusTotal  | 字段 | 值 | |---|---| | **检测率** | 46/71 个杀毒引擎 | | **威胁标签** | `trojan.msil/agensla` | | **类别** | Trojan, Ransomware, Downloader | | **家族标签** | msil, agensla, inoci | | **文件类型** | PE32 executable (.NET assembly) | | **文件大小** | 911.50 KB | **主要检测结果：** - AhnLab-V3: `Trojan/Win.Formbook.X2183` - Kaspersky: `HEUR:Trojan-PSW.MSIL.Agensla.gen` - CrowdStrike: `win/malicious_confidence_100%` - Microsoft: `Trojan:Win32/Wacatac.B!ml` ### Hybrid-Analysis  | 字段 | 值 | |---|---| | **判定结果** | 🔴 MALICIOUS | | **威胁评分** | 100/100 | | **AV 检测率** | 34% | | **家族** | Gen:Variant.Ransom.Loki | | **类别** | #ransomware | | **MITRE ATT&CK** | 125 个指标 → 67 项技术，10 项战术 | **风险评估：** - **Spyware** — 发现注入方法字符串 - **Persistence** — 向远程进程写入数据 - **Fingerprint** — 查询内核调试器信息 - **Evasive** — 隐藏下载痕迹，长时间休眠间隔 ### 🔄 对比：VirusTotal vs Hybrid-Analysis | 标准 | VirusTotal | Hybrid-Analysis | |---|---|---| | **检测率** | 46/71 (65%) | 34% AV 检测率 | | **威胁评分** | — | 100/100 | | **分析类型** | 多引擎 AV 扫描器 | 沙箱 + AV | | **家族检测** | msil, agensla | Gen:Variant.Ransom.Loki | | **行为数据** | 有限 | ✅ 完整行为报告 | | **MITRE ATT&CK** | ❌ | ✅ 67 项技术 | | **最适用途** | 快速 AV 扫描 | 深度行为分析 | ## 🔬 静态分析 静态分析在 REMnux 上进行，未执行恶意软件，使用了以下工具： ### 使用的工具 #### 1. `file` — 文件类型识别 ``` file formbook.exe ``` **结果：** `PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows` #### 2. `pescan` — PE 结构与熵值 ``` pescan formbook.exe ``` **结果：** - 熵值：`6.697`（正常 — 未加壳） - 区段：3 个（`.text`, `.rsrc`, `.reloc`） - 未检测到反汇编代码 #### 3. `strings` — 字符串提取 ``` strings formbook.exe | grep -E "http|\.exe|\.dll|HKEY|cmd" ``` 提取可读字符串，以识别可疑的 URL、注册表项和命令。 #### 4. Manalyze — 完整的 PE 分析 ``` ./manalyze formbook.exe -p compilers,peid,strings,findcrypt,packer,imports,resources,virustotal ```   **主要发现：** | 字段 | 值 | |---|---| | **架构** | IMAGE_FILE_MACHINE_I386 | | **编译器** | Microsoft Visual C# v7.0 / Basic .NET | | **编译日期** | 2022-Mar-19 09:27:39 | | **内部名称** | O.K.exe | | **混淆的元数据** | CompanyName, FileDescription（编码字符串） | | **VirusTotal 评分** | 46/71 MALICIOUS | ## 🚀 动态分析 动态分析使用安装在 REMnux 上的 **CAPEv2 Sandbox** 进行，并以 Windows 10 VM 作为受害机。 ### 环境设置 ``` REMnux (CAPEv2) ←→ Windows 10 VM (CAPEv2 Agent) ↓ Analyzes behavior in real-time ``` ### 工作原理 1. CAPEv2 通过 agent 将恶意软件发送到 Windows VM 2. agent 在受控环境中执行恶意软件 3. CAPEv2 监控所有的 API 调用、文件操作、注册表更改以及网络活动 4. 收集结果并生成完整的报告 ### 🎬 演示视频 [](https://www.linkedin.com/posts/amir-ghdiri-40181129a_cybersecurity-malwareanalysis-capev2-activity-7464350648424288256-uZEM) ### CAPEv2 的主要发现  | 类别 | 发现 | |---|---| | **进程** | `formbook.exe` PID: 7020 (32-bit) | | **访问的文件** | 206 个系统文件 | | **修改的文件** | `\\??\\pipe\\PIPE_EVENTROOT\\CIMV2PROVIDERSUBSYSTEM` | | **删除的文件** | `formbook.exe:Zone.Identifier`（规避行为） | | **注册表项** | 访问了 292 个键 | | **CAPE Payload** | 提取了 4 个 payload | | **AMSI** | 检测到绕过尝试 | | **网络** | 已阻止（丢弃所有 VM 流量） | **值得注意的行为：** - ✅ 删除 `Zone.Identifier` 以隐藏互联网下载来源 - ✅ 访问 WMI 管道进行系统监控 - ✅ 尝试绕过 AMSI（Windows 反恶意软件接口） - ✅ CAPE 引擎提取了 4 个 payload ## 📊 结果总结 | 分析类型 | 工具 | 判定结果 | |---|---|---| | 自动化 | VirusTotal | 🔴 46/71 MALICIOUS | | 自动化 | Hybrid-Analysis | 🔴 100/100 MALICIOUS | | 静态 | Manalyze | 🔴 MALICIOUS (46/71 VT) | | 静态 | pescan | ⚠️ 熵值 6.69（正常） | | 动态 | CAPEv2 | 🔴 提取了 4 个 payload | ## 🏷️ 标签 `#CyberSecurity` `#MalwareAnalysis` `#CAPEv2` `#Sandbox` `#REMnux` `#Formbook` `#ThreatIntelligence` `#BlueTeam` `#DynamicAnalysis` `#StaticAnalysis` `#InfoSec` *由 [Amir Ghdiri](https://www.linkedin.com/in/amir-ghdiri-40181129a) 用 ❤️ 制作*

标签：DAST, HTTP工具, 云安全监控, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 逆向工程, 静态分析