nishantrmagar2003/Agent-Tesla-Malware-Analysis

GitHub: nishantrmagar2003/Agent-Tesla-Malware-Analysis

该项目对 Agent Tesla 恶意软件样本进行了完整的静态与动态取证分析,并将行为映射至 MITRE ATT&CK 框架,产出包含 IOC 与逆向发现的技术报告。

Stars: 0 | Forks: 0

# 🛡 Agent Tesla 恶意软件分析 ![Platform](https://img.shields.io/badge/Platform-Windows_11-blue) ![Analysis](https://img.shields.io/badge/Analysis-Static_&_Dynamic-success) ![Framework](https://img.shields.io/badge/Framework-MITRE_ATT%26CK-red) ![Project](https://img.shields.io/badge/Project-Digital_Forensics-orange) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen) # 📖 关于 本仓库记录了对 **Agent Tesla** 信息窃取恶意软件样本的取证调查,使用了静态和动态恶意软件分析技术。分析是在隔离的 Windows 11 虚拟机 (UTM) 中进行的,以便安全地观察恶意软件的行为。调查重点包括恶意软件执行、持久化机制、网络通信和逆向工程。调查结果被映射到 **MITRE ATT&CK Framework**,并记录在一份全面的技术报告中。 # 🎯 项目目标 - 调查 Agent Tesla 恶意软件样本的行为。 - 使用多种取证工具执行静态恶意软件分析。 - 通过动态恶意软件分析观察运行时行为。 - 识别持久化和网络通信技术。 - 将恶意软件行为映射到 MITRE ATT&CK Framework。 # 🛠 使用的取证工具 | Tool | Purpose | |------|---------| | FileInsight | 文件识别和 PE 分析 | | HashCalc | 哈希生成和完整性校验 | | VirusTotal | 威胁情报和恶意软件识别 | | PeStudio | 导入分析和静态指标 | | Detect It Easy (DIE) | Packer 和编译器检测 | | DnSpy | .NET 逆向工程和代码分析 | | Process Explorer | 运行时进程监控 | | TCPView | 活动网络连接分析 | | Wireshark | DNS、TLS 和网络流量分析 | | Autoruns | 持久化机制分析 | | Regshot | 执行前后的注册表对比 | # 📊 关键发现 - 成功识别出 Agent Tesla 恶意软件变种。 - 检测到 UPX 加壳和 AutoIt 混淆技术。 - 恶意软件从 AppData 目录执行。 - 与外部基础设施建立了 HTTPS 通信。 - 使用 Wireshark 识别出 DNS 和 TLS 通信。 - 使用 VBS 脚本建立了启动文件夹持久化。 - 通过逆向工程识别出键盘记录功能。 - 使用 Telegram API 进行数据外泄。 # 💻 展示的技能 - 恶意软件分析 - 数字取证 - 静态恶意软件分析 - 动态恶意软件分析 - 逆向工程 - Windows 内部机制 - 网络流量分析 - 威胁情报 - MITRE ATT&CK 映射 - 技术文档编写 # 📁 仓库结构 ``` Agent-Tesla-Malware-Analysis/ │ ├── README.md ├── LICENSE ├── .gitignore │ ├── report/ │ └── Agent_Tesla_Forensic_Report.pdf │ ├── docs/ │ ├── Static-Analysis.md │ ├── Dynamic-Analysis.md │ ├── MITRE-ATTACK.md │ ├── IOC.md │ └── Tools-Used.md │ ├── screenshots/ └── assets/ ``` # 📄 完整技术报告 完整的取证调查、方法论、截图、发现和参考资料可在以下文件中找到: **`report/Agent_Tesla_Forensic_Report.pdf`** # ⚠ 免责声明 本仓库仅供**教育和防御性网络安全研究目的**使用。它包含恶意软件行为的文档和分析,但**不包含恶意软件二进制文件、恶意 payload 或漏洞利用代码**。所有分析均在隔离的实验室环境中进行。
标签:ATT&CK框架, DAST, DNS 反向解析, IP 地址批量处理, 云资产清单, 多人体追踪, 安全分析报告, 恶意软件分析, 数字取证, 自动化脚本, 逆向工程