nishantrmagar2003/Agent-Tesla-Malware-Analysis
GitHub: nishantrmagar2003/Agent-Tesla-Malware-Analysis
该项目对 Agent Tesla 恶意软件样本进行了完整的静态与动态取证分析,并将行为映射至 MITRE ATT&CK 框架,产出包含 IOC 与逆向发现的技术报告。
Stars: 0 | Forks: 0
# 🛡 Agent Tesla 恶意软件分析





# 📖 关于
本仓库记录了对 **Agent Tesla** 信息窃取恶意软件样本的取证调查,使用了静态和动态恶意软件分析技术。分析是在隔离的 Windows 11 虚拟机 (UTM) 中进行的,以便安全地观察恶意软件的行为。调查重点包括恶意软件执行、持久化机制、网络通信和逆向工程。调查结果被映射到 **MITRE ATT&CK Framework**,并记录在一份全面的技术报告中。
# 🎯 项目目标
- 调查 Agent Tesla 恶意软件样本的行为。
- 使用多种取证工具执行静态恶意软件分析。
- 通过动态恶意软件分析观察运行时行为。
- 识别持久化和网络通信技术。
- 将恶意软件行为映射到 MITRE ATT&CK Framework。
# 🛠 使用的取证工具
| Tool | Purpose |
|------|---------|
| FileInsight | 文件识别和 PE 分析 |
| HashCalc | 哈希生成和完整性校验 |
| VirusTotal | 威胁情报和恶意软件识别 |
| PeStudio | 导入分析和静态指标 |
| Detect It Easy (DIE) | Packer 和编译器检测 |
| DnSpy | .NET 逆向工程和代码分析 |
| Process Explorer | 运行时进程监控 |
| TCPView | 活动网络连接分析 |
| Wireshark | DNS、TLS 和网络流量分析 |
| Autoruns | 持久化机制分析 |
| Regshot | 执行前后的注册表对比 |
# 📊 关键发现
- 成功识别出 Agent Tesla 恶意软件变种。
- 检测到 UPX 加壳和 AutoIt 混淆技术。
- 恶意软件从 AppData 目录执行。
- 与外部基础设施建立了 HTTPS 通信。
- 使用 Wireshark 识别出 DNS 和 TLS 通信。
- 使用 VBS 脚本建立了启动文件夹持久化。
- 通过逆向工程识别出键盘记录功能。
- 使用 Telegram API 进行数据外泄。
# 💻 展示的技能
- 恶意软件分析
- 数字取证
- 静态恶意软件分析
- 动态恶意软件分析
- 逆向工程
- Windows 内部机制
- 网络流量分析
- 威胁情报
- MITRE ATT&CK 映射
- 技术文档编写
# 📁 仓库结构
```
Agent-Tesla-Malware-Analysis/
│
├── README.md
├── LICENSE
├── .gitignore
│
├── report/
│ └── Agent_Tesla_Forensic_Report.pdf
│
├── docs/
│ ├── Static-Analysis.md
│ ├── Dynamic-Analysis.md
│ ├── MITRE-ATTACK.md
│ ├── IOC.md
│ └── Tools-Used.md
│
├── screenshots/
└── assets/
```
# 📄 完整技术报告
完整的取证调查、方法论、截图、发现和参考资料可在以下文件中找到:
**`report/Agent_Tesla_Forensic_Report.pdf`**
# ⚠ 免责声明
本仓库仅供**教育和防御性网络安全研究目的**使用。它包含恶意软件行为的文档和分析,但**不包含恶意软件二进制文件、恶意 payload 或漏洞利用代码**。所有分析均在隔离的实验室环境中进行。
标签:ATT&CK框架, DAST, DNS 反向解析, IP 地址批量处理, 云资产清单, 多人体追踪, 安全分析报告, 恶意软件分析, 数字取证, 自动化脚本, 逆向工程