MusahIssah/windows-sandbox-malware-analysis
GitHub: MusahIssah/windows-sandbox-malware-analysis
利用 Windows Sandbox 内置功能对可疑邮件附件进行零成本隔离引爆与恶意软件行为分析的 SOC 实战教程。
Stars: 1 | Forks: 0
# Windows Sandbox — 可疑电子邮件附件分析实验室
**实验室类型:** 威胁分析 / 恶意软件分类
**环境:** Windows 11 Pro — Windows Sandbox (内置)
**分析师:** Musah Issah | IAM/SOC 分析师
**日期:** 2026 年 6 月 27 日
**状态:** ✅ 已完成
## 概述
本实验室演示了如何使用 **Windows Sandbox**(Windows 11 的内置功能)来安全地分析可疑的电子邮件附件,而不会使您的主机面临风险。该场景模拟了一封传递名为 `Invoice_2026_Outstanding.pdf` 文件的钓鱼电子邮件——结果证明这是一个伪装的可执行文件,它会生成意外的系统进程。
这是一种实用、零成本的技术,SOC 分析师和 IT 安全专业人员可以使用它在对可疑文件进行升级,从而转移到完整的沙箱平台(如 Any.run、Joe Sandbox 或 Microsoft Defender for Endpoint 的引爆室)之前,对其进行快速分类。
## 为什么使用 Windows Sandbox?
Windows Sandbox 使用与主机相同的 Windows 内核创建了一个**轻量级、隔离的虚拟环境**。主要安全特性:
- 与主机文件系统完全隔离
- 无持久状态——关闭沙箱后所有内容都会被清除
- 无需额外的软件许可证或 hypervisor 设置(必须启用 Hyper-V)
- 在 Windows 10/11 Pro 和 Enterprise 上原生可用
## 实验室环境
| 组件 | 详情 |
|---|---|
| 主机操作系统 | Windows 11 Pro |
| 沙箱类型 | Windows Sandbox (内置) |
| 所需功能 | Hyper-V, Windows Hypervisor Platform |
| 测试文件 | Invoice_2026_Outstanding.pdf (伪装的 .exe) |
| 沙箱中的网络 | 已禁用 (无互联网访问) |
| 目标 | 确定附件是否为恶意 |
## 实验室操作指南
### 步骤 1 — 通过 Windows 功能启用 Windows Sandbox
默认情况下,Windows Sandbox 未启用。导航至:
**控制面板 → 程序 → 启用或关闭 Windows 功能**
勾选 **Windows Sandbox** 的复选框,然后重启计算机。

### 步骤 2 — 启动 Windows Sandbox
在“开始”菜单中搜索 **Windows Sandbox** 并将其打开。一个干净、隔离的 Windows 11 桌面将在您主机上的一个窗口中加载。请注意,该环境完全是空的——没有已保存的文件、没有凭据、也没有浏览器历史记录。

### 步骤 3 — 拖入可疑文件并执行
测试文件 `Invoice_2026_Outstanding.pdf`(显示为齿轮图标而非 PDF 图标——这是一个危险信号)被复制到了沙箱中。执行后,一个 **命令提示符窗口立即启动**,显示:
```
[!] CRITICAL SYSTEM ALERT: SIMULATED EMAIL THREAT LAUNCHED
-------------------------------------------------------
This simulates a phishing attachment dropping a dynamic payload.
Press any key to continue . . .
```
该文件还触发了 **“无互联网访问 / 无可用连接”** 通知——这证实了沙箱的网络隔离阻止了 payload 可能尝试的任何 C2 callback。

### 步骤 4 — 在任务管理器中调查运行中的进程
在沙箱中打开了任务管理器以观察进程行为。在 **应用 (3)** 下运行了三个意外的应用程序:
- **Notepad** — 未经用户交互便自动生成
- **任务管理器** — 由分析师打开
- **Windows PowerShell** — 未经用户交互便自动生成 ⚠️
Notepad 和 PowerShell 在没有任何用户操作的情况下自动启动,这是恶意行为的强烈指标。现实中的 payload 通常使用 PowerShell 来下载第二阶段攻击载荷或建立持久性。

### 步骤 5 — 触发动态威胁分析警报
一个模拟的**动态威胁分析警报**对话框证实了这一发现:
此弹窗模拟了 SOC 分析师在文件引爆触发异常进程创建时,从行为检测引擎(例如 Microsoft Defender for Endpoint 或 SOAR playbook)接收到的自动化警报类型。

### 步骤 6 — 识别伪装文件
文件 `Invoice_2026_Outstanding.pdf` 显示为**齿轮/设置图标**,而不是标准的 PDF 图标。这是一种经典的社会工程技术——攻击者将可执行文件命名为听起来像文档的文件名,以诱骗用户打开它们。
观察到的关键指标:
- 齿轮图标(`.exe` 或脚本)而非 PDF 阅读器图标
- 文件扩展名与显示的图标不一致
- 执行后立即生成 cmd.exe 和 PowerShell

## 观察到的入侵指标
| IOC | 类型 | 描述 |
|---|---|---|
| `Invoice_2026_Outstanding.pdf` | 文件名 | 伪装成可执行文件的 PDF |
| PDF 文件上的齿轮图标 | 视觉 | 文件图标错误——不是 PDF 阅读器 |
| `cmd.exe` 生成 | 进程 | 文件执行时立即启动 |
| `powershell.exe` 生成 | 进程 | 未经用户交互便自动生成 |
| `notepad.exe` 生成 | 进程 | 未经用户交互便自动生成 |
| C2 callback 尝试被阻止 | 网络 | 触发了“无互联网访问”通知 |
## 关键要点
1. **Windows Sandbox 是一款快速、免费的一线分类工具**——在任何 Windows 11 Pro/Enterprise 机器上均可使用,无需额外成本或授权。
2. **文件图标具有欺骗性。** 在打开任何附件之前,务必验证实际的文件扩展名。PDF 图标并不意味着该文件就是 PDF。
3. **意外的进程创建是主要的行为 IOC。** 从文档文件中生成 PowerShell 和 cmd.exe 是一个众所周知的危险信号,并且会在大多数企业级 EDR 工具中触发检测。
4. **网络隔离至关重要。** 沙箱没有互联网访问权限,这阻止了任何潜在的 C2 beacon 或二级 payload 下载——这正是分析师的引爆环境应有的配置方式。
5. **此工作流符合真实的 SOC 流程。** 分析师通常将沙箱引爆作为钓鱼调查 playbook 的一部分,然后再进行升级或修复。
## SOC 分析师工作流 — 适用场景
```
User reports suspicious email
↓
Analyst receives alert or ticket
↓
Extract attachment (do NOT open on host)
↓
Drop into isolated sandbox (Windows Sandbox / Any.run / MDE)
↓
Observe behavior: process creation, network calls, file writes
↓
Document IOCs
↓
Escalate / Block / Remediate
```
## 展示的工具与技能
- Windows Sandbox (Windows 11 内置功能)
- 用于实时进程监控的任务管理器
- 行为威胁分析
- IOC 识别与记录
- 社会工程意识 (图标欺骗、文件名伪装)
## 相关项目
- [Okta 威胁检测实验室](https://github.com/musahissah) — 撞库、不可能的旅行、MFA 疲劳
- [Microsoft Sentinel 事件调查](https://github.com/musahissah) — 来自新国家/地区的身份验证
- [钓鱼模拟案例研究 — Device Code OAuth 攻击](https://github.com/musahissah)
## 联系方式
**LinkedIn:** [linkedin.com/in/musahissah](https://linkedin.com/in/musahissah)
**GitHub:** [github.com/musahissah](https://github.com/musahissah)
**认证:** CompTIA Security+ | Okta Certified Professional
标签:威胁分析, 自动化侦查工具