noorzaghouani/malware_analysis

GitHub: noorzaghouani/malware_analysis

针对 RemcosRAT 远程访问木马的学术性恶意软件分析项目,通过理论、自动化、静态和动态四个阶段建立完整的恶意软件行为画像。

Stars: 0 | Forks: 0

# 恶意软件分析 # RemcosRAT — 恶意软件分析项目 作为恶意软件分析课程(TEK-UP University,ING4-SSIR)一部分而进行的学术性恶意软件分析项目。 ## 🦠 概述 **RemcosRAT** 是一种远程访问木马 (RAT),最早于 2016 年 11 月被发现。它最初作为合法的远程管理工具进行销售,随后被网络犯罪分子和间谍组织广泛滥用。它通常以 AutoIt 编译的 loader 形式分发,并使用 Yoda's Crypter 或 UPX 等工具进行加壳,在 **MITRE ATT&CK** 中的编号为 **S0332**。 本项目遵循四阶段方法论,旨在建立该恶意软件的完整画像: | 阶段 | 重点 | 使用的工具 | |---|---|---| | **1. 理论研究** | 历史、分类、变种、已记录的攻击活动 | OSINT、MITRE ATT&CK、威胁情报报告 | | **2. 自动化分析** | 多引擎检测与沙箱分诊 | VirusTotal、Hybrid-Analysis、ANY.RUN | | **3. 静态分析** | 二进制结构、加壳、导入、字符串 | HashMyFiles、Detect It Easy、PEStudio、FLOSS、Cutter | | **4. 动态分析** | 在隔离 VM 中的实时行为观察 | CAPE Sandbox、INetSim | ## 🔍 关键发现 - **样本 SHA-256**:`9f1ad57fea9aada4083b99e984e33f2cbdc7668b031f815ae94fc8f7b7919e4e` - **样本 MD5**:`bed965ab1c0fca67cab238ae8b4dc4bd` - **C2 Server**:`178.16.54.26:5545`(荷兰)—— 在**自动化** (Hybrid-Analysis/ANY.RUN) 和**动态** (CAPE Sandbox) 分析中均得到独立确认 - **诱饵域名**:`svc.ha-teams.office.com`(利用可信站点的技术,伪装成 Microsoft Teams) - **加壳**:约 90% 的二进制文件已加壳(`.rsrc` 熵:7.94/8.0) - ** notable techniques**:AutoIt 编译的 loader、基于 section mapping 的 process hollowing、DLL unhooking、基于 KSecDD 的加密密钥生成、基于注册表的持久化 ## 🎯 识别出的 MITRE ATT&CK 技术 | 技术 | ID | |---|---| | 注册表 Run 键 | T1547.001 | | Web 协议 (C2) | T1071.001 | | 屏幕捕获 | T1113 | | 虚拟化/沙箱规避 | T1497 | | 进程注入 | T1055 | | 混淆文件或信息 | T1027 | | 键盘记录 | T1056.001 | | 调试器规避 | T1622 | ## 👤 作者 **Nour ZAGHOUANI** ## 📚 参考文献 有关完整的引用信息,请参阅每个阶段报告中的参考文献部分 (MITRE ATT&CK、Cisco Talos、Proofpoint、ESET、Fortinet FortiGuard Labs、Recorded Future、CERT-UA、CISA)。
标签:DAST, 云安全监控, 云资产清单, 学术研究, 恶意软件分析, 自动化分析, 跨站脚本, 逆向工程, 静态分析