noorzaghouani/malware_analysis
GitHub: noorzaghouani/malware_analysis
针对 RemcosRAT 远程访问木马的学术性恶意软件分析项目,通过理论、自动化、静态和动态四个阶段建立完整的恶意软件行为画像。
Stars: 0 | Forks: 0
# 恶意软件分析
# RemcosRAT — 恶意软件分析项目
作为恶意软件分析课程(TEK-UP University,ING4-SSIR)一部分而进行的学术性恶意软件分析项目。
## 🦠 概述
**RemcosRAT** 是一种远程访问木马 (RAT),最早于 2016 年 11 月被发现。它最初作为合法的远程管理工具进行销售,随后被网络犯罪分子和间谍组织广泛滥用。它通常以 AutoIt 编译的 loader 形式分发,并使用 Yoda's Crypter 或 UPX 等工具进行加壳,在 **MITRE ATT&CK** 中的编号为 **S0332**。
本项目遵循四阶段方法论,旨在建立该恶意软件的完整画像:
| 阶段 | 重点 | 使用的工具 |
|---|---|---|
| **1. 理论研究** | 历史、分类、变种、已记录的攻击活动 | OSINT、MITRE ATT&CK、威胁情报报告 |
| **2. 自动化分析** | 多引擎检测与沙箱分诊 | VirusTotal、Hybrid-Analysis、ANY.RUN |
| **3. 静态分析** | 二进制结构、加壳、导入、字符串 | HashMyFiles、Detect It Easy、PEStudio、FLOSS、Cutter |
| **4. 动态分析** | 在隔离 VM 中的实时行为观察 | CAPE Sandbox、INetSim |
## 🔍 关键发现
- **样本 SHA-256**:`9f1ad57fea9aada4083b99e984e33f2cbdc7668b031f815ae94fc8f7b7919e4e`
- **样本 MD5**:`bed965ab1c0fca67cab238ae8b4dc4bd`
- **C2 Server**:`178.16.54.26:5545`(荷兰)—— 在**自动化** (Hybrid-Analysis/ANY.RUN) 和**动态** (CAPE Sandbox) 分析中均得到独立确认
- **诱饵域名**:`svc.ha-teams.office.com`(利用可信站点的技术,伪装成 Microsoft Teams)
- **加壳**:约 90% 的二进制文件已加壳(`.rsrc` 熵:7.94/8.0)
- ** notable techniques**:AutoIt 编译的 loader、基于 section mapping 的 process hollowing、DLL unhooking、基于 KSecDD 的加密密钥生成、基于注册表的持久化
## 🎯 识别出的 MITRE ATT&CK 技术
| 技术 | ID |
|---|---|
| 注册表 Run 键 | T1547.001 |
| Web 协议 (C2) | T1071.001 |
| 屏幕捕获 | T1113 |
| 虚拟化/沙箱规避 | T1497 |
| 进程注入 | T1055 |
| 混淆文件或信息 | T1027 |
| 键盘记录 | T1056.001 |
| 调试器规避 | T1622 |
## 👤 作者
**Nour ZAGHOUANI**
## 📚 参考文献
有关完整的引用信息,请参阅每个阶段报告中的参考文献部分 (MITRE ATT&CK、Cisco Talos、Proofpoint、ESET、Fortinet FortiGuard Labs、Recorded Future、CERT-UA、CISA)。
标签:DAST, 云安全监控, 云资产清单, 学术研究, 恶意软件分析, 自动化分析, 跨站脚本, 逆向工程, 静态分析