Maracuya4263/malware-memory-forensics
GitHub: Maracuya4263/malware-memory-forensics
该仓库提供针对 PipeMagic 后门和 RedLine 窃取器的独立内存取证与逆向分析报告,并附带 YARA 规则、IOC 和 MITRE ATT&CK 映射等可直接复用的检测内容。
Stars: 3 | Forks: 0
# 恶意软件分析作品集
**Windows 威胁的内存取证与逆向工程**
Miguel Ángel Rodríguez Bohórquez · 独立恶意软件分析师 · 哥伦比亚波哥大
[mrodriguezbohorquez23@gmail.com](mailto:mrodriguezbohorquez23@gmail.com)
两个独立的、基于实验室的真实 Windows 恶意软件调查:**PipeMagic** 模块化后门(Microsoft 追踪其为 Storm-2460 的活动)和 **RedLine** 信息窃取器。每个调查都从原始证据重建威胁,并以其他防御者可以重用的检测内容收尾。
### 范围与道德声明
在开始这项工作之前,这两个样本已经被主要供应商公开并记录在案。它们在与真实基础设施隔离的实验室网络中被引爆。本仓库包含书面分析、威胁指标和检测规则;不提供任何恶意软件二进制文件。下方的网络指标已进行防毒处理。在部署任何规则之前,请针对已知的良好基线进行验证。
## 分析报告
| 报告 | 威胁 | 涵盖内容 |
|---|---|---|
| [PipeMagic:独立拆解分析](./pipemagic_technical_writeup.md) | PipeMagic 模块化后门 (Storm-2460) | 植入体及其网络模块的内存取证与逆向工程 |
| [RedLine Stealer:内存取证](./redline_stealer_forensic_report.md) | RedLine 信息窃取器 | 从引爆到 payload 逆向的五阶段实时内存调查 |
### PipeMagic
一个伪造的“ChatGPT Desktop Application”(Tauri/Rust),它会解密并注入一个模块化后门。在 2025 年的勒索软件活动中,该家族与 Windows CLFS 零日漏洞 CVE-2025-29824 结合使用。它没有依赖已公开的 Microsoft 和 Kaspersky 拆解报告,而是通过受控引爆、Volatility 3 内存取证,以及对从其 `.auto` 容器中提取的植入体和网络模块进行 Ghidra 静态分析,重建了该样本。
* Loader SHA-256: `dc54117b965674bad3d7cd203ecf5e7fc822423a3f692895cf5e96e83fb88f6a`
* 分类:`Backdoor:Win64/PipeMagic`(Defender 威胁 ID `2147940252`)
* 内嵌 C2: `aaaaabbbbbbb[.]eastus[.]cloudapp[.]azure[.]com:443`(已被 sinkhole)
除了公开报告之外,本次分析还增加了以下内容:
* 网络模块带有其自身静态链接的 mbedTLS 栈,没有使用证书锁定,而不是使用 Windows Schannel。
* C2 组帧是在硬编码的 WebSocket 升级之上,使用一个 4 字节小端长度后跟 payload。
* 握手后的 token(`01 00 42 42`),真实的 C2 必须在任何命令流动之前返回它,这在我查阅的公开报告(Microsoft、Kaspersky、ESET)中没有找到相关描述。
* 重连策略为尝试五次,每次间隔五秒,以及一个 18 状态的 TLS 握手。
* 完整的 21 条命令内部调度层,每条命令都追踪到了其处理函数。
* 恢复的主机工件 `JShellCodeInjection.pdb`,指向一个内部项目名称。
它包含分层的 YARA 规则(持久的家族级规则加上高精度的变体特定规则)、完整的 IOC 表格以及 MITRE ATT&CK 映射。由于 C2 已被 sinkhole,命令处理程序是通过静态方式映射的,报告中直接说明了这一点,并指出了受控的 C2 模拟器仍然可以确认的内容。
### RedLine Stealer
在内存中引爆并捕获了一个实时 RedLine 样本,然后分五个阶段进行了处理:使用 FakeNet-NG 进行动态网络分析(这使得恶意软件能够跳过反沙箱检查继续运行)、对 2.1 GB 的内存转储使用 Volatility 3、字符串分析、VAD 区域提取,以及对注入的 payload 的逆向尝试。
* 主要感染:`msedge.exe` PID 216,使用 `--no-startup-window` 启动
* 注入:进程 hollowing 到 `svchost.exe` PID 372 (SYSTEM)
* 凭据窃取:针对 Edge 和 Firefox 登录数据库执行 SQL 查询,外加 Edge 的 `app_bound_encrypted_key`
* 持久化:`HKCU\...\Run\MicrosoftEdgeAutoLaunch_...`
* Build GUID: `{67082621-8D18-4333-9C64-10DE93676363}`
* C2(已防毒处理):`78[.]85[.]17[.]88:8443`, `47[.]105[.]57[.]207`,loader `kedaiorangmelayu[.]xyz`
逆向阶段被如实报告为部分结果。激进的 payload 保护(空的导入和导出表)阻止了反编译,但该阶段仍然锁定了 BSJB .NET 元数据签名、提取文件的哈希值,以及 CAPA 的“未发现能力”读数,这意味着保护机制起作用了,而不是说文件是干净的。
它包含五条特定版本的 YARA 规则、网络和主机 IOC 表格、MITRE ATT&CK 映射,以及涵盖 SIEM/EDR 检测、加固和事件响应的防御手册。
## 检测内容
两份报告中检测材料的独立、即拷即用副本,因此分析师无需先阅读完整的文章即可提取规则或指标列表:
* YARA 规则:[`rules/pipemagic.yar`](./rules/pipemagic.yar), [`rules/redline_stealer.yar`](./rules/redline_stealer.yar)
* 指标:[`iocs/pipemagic.txt`](./iocs/pipemagic.txt), [`iocs/redline_stealer.txt`](./iocs/redline_stealer.txt) — 网络指标已防毒处理,文件哈希值保持原样
## 展示的技能
实时内存获取和取证(Volatility 3、winpmem),静态逆向工程(Ghidra),动态分析和网络拦截(FakeNet-NG),脱壳和去混淆(aPLib、XOR、RC4),网络协议逆向工程,进程注入分析(hollowing、VAD 和 PEB 操作),浏览器凭据窃取分析,以及使用 YARA 和 MITRE ATT&CK 的检测工程。在这两份报告中,调查结果被区分为印证先前公开报告的部分和独立发现的部分,并公开说明了置信度和局限性。
## 参考资料
这些分析印证并扩展了来自 Microsoft Threat Intelligence、Kaspersky/SecureList 和 ESET(PipeMagic),以及 Splunk、Cyble、S2W、CloudSEK 和 Acronis(RedLine)的原始来源报告。完整的引用位于每份报告的末尾。
基于 [MIT License](./LICENSE) 发布。© 2026 Miguel Ángel Rodríguez Bohórquez。标签:Conpot, DAST, DNS信息、DNS暴力破解, DNS 反向解析, HTTP工具, SecList, Windows安全, YARA规则, 云资产清单, 内存取证, 多线程, 威胁情报, 开发者工具, 恶意软件分析, 逆向工具, 逆向工程