sigintrecon/malware-threats-analysis

GitHub: sigintrecon/malware-threats-analysis

一份结构化的恶意软件威胁分析教学文档库,系统覆盖恶意软件分类、APT案例研究、分析技术与检测防御策略。

Stars: 0 | Forks: 0

# 恶意软件威胁分析

Educational Research Author Learning Path License Status

**作者:** Muhammad Umar ([SigintRecon](https://github.com/sigintrecon)) **焦点:** 恶意软件类别、真实案例研究、分析方法论以及检测/防御策略的概念性与分析性文档 —— 作为结构化攻击安全学习路径(eJPT → OSCP → CRTO)的一部分而构建。 ## 目录 - [为什么创建此仓库](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#why-this-repo-exists) - [仓库结构](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#repository-structure) - [涵盖主题](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#topics-covered) - [恶意软件对比表](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#malware-comparison-table) - [关于起源的注记:Brain 病毒](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#malware-comparison-table) - [免责声明](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#malware-comparison-table) - [相关仓库](https://github.com/sigintrecon/malware-threats-analysis/edit/main/README.md#malware-comparison-table) ## 为什么创建此仓库 了解恶意软件 —— 其分类、传播机制和行为模式 —— 是攻击(红队)和防御(蓝队/SOC)安全工作的基础。此仓库整合了关于以下内容的结构化笔记: - 核心恶意软件类别及其各自的运作方式 - 历史与现代的真实案例研究 - 静态与动态恶意软件分析方法论 - 无文件恶意软件概念及其逃避传统 AV 的原因 - 检测工程与系统加固实践 ## 仓库结构 ``` malware-threats-analysis/ ├── 01-fundamentals/ │ └── what-is-malware.md ├── 02-malware-types/ │ ├── comparison-table.md ⭐ quick-reference cheat sheet │ ├── virus.md │ ├── worm.md │ ├── trojan.md │ ├── ransomware.md │ ├── rootkit.md │ └── spyware-adware.md ├── 03-apt-case-studies/ │ ├── stuxnet.md │ ├── pegasus.md │ └── notpetya-wannacry.md ├── 04-fileless-malware/ │ └── fileless-concepts.md ├── 05-analysis-techniques/ │ ├── static-analysis.md │ └── dynamic-analysis.md ├── 06-detection-prevention/ │ └── hardening-checklist.md ├── references/ │ └── sources.md └── README.md ``` ## 涵盖主题 | 领域 | 描述 | |---|---| | **恶意软件基础** | 定义、意图和威胁行为者类别(个人、犯罪集团、民族国家) | | **恶意软件类型** | 病毒、蠕虫、木马、勒索软件、Rootkit、间谍软件/广告软件 —— 机制 + 每种类型的真实案例 | | **APT (高级持续性威胁)** | 民族国家级别、长持续时间、高价值目标攻击活动 | | **无文件恶意软件** | 通过 PowerShell/WMI/Registry 进行内存驻留执行 —— 为什么基于特征的 AV 会遇到困难 | | **传播机制** | 钓鱼、恶意 USB、偷渡式下载、虚假安装程序、恶意广告 | | **恶意软件分析** | 静态分析(不执行)与动态分析(沙箱执行) | | **检测与预防** | EDR 概念、系统加固、行为监控 | ## 恶意软件对比表 一份快速、一目了然的速查表 —— 完整的分类及链接请见 [`02-malware-types/comparison-table.md`](02-malware-types/comparison-table.md)。 | 恶意软件类型 | 传播方式 | 危害类型 | 著名案例 | |---|---|---|---| | **病毒** | 附加到合法文件/程序上;需要**用户操作** | 破坏/删除文件,减慢系统速度 | **Melissa 病毒 (1999)** | | **蠕虫** | 通过网络/电子邮件**自我复制**,无需用户操作 | 消耗带宽,开启后门 | **ILOVEYOU (2000)**,**Conficker (2008)** | | **木马** | 伪装成合法软件;用户在不知情的情况下安装 | 窃取数据,开启后门 | **Zeus 木马 (2007)** | | **勒索软件** | 钓鱼、恶意链接、偷渡式下载 | 加密文件,要求加密货币赎金 | **WannaCry (2017)**,**Colonial Pipeline (2021)** | | **Rootkit** | 与软件捆绑,通过木马/漏洞利用传播 | 隐藏恶意软件,授予管理员级别的控制权 | **Sony BMG CD Rootkit 丑闻 (2005)** | | **间谍软件/广告软件** | 恶意广告网络、虚假应用 | 监控活动,充斥大量广告 | **Pegasus 间谍软件** | ## 🇵🇰 关于起源的注记:Brain 病毒 在此仓库记录的任何案例研究(Stuxnet、WannaCry、Pegasus)之前,就有 **Brain**,它被广泛记录为第一个在野外传播的 PC 病毒。它于 1986 年由巴基斯坦拉合尔的兄弟 **Amjad Farooq Alvi** 和 **Basit Farooq Alvi** 编写。兄弟俩经营着一家计算机/医疗软件发行业务,据报道,他们构建 Brain 并不是作为破坏性武器,而是作为一种追踪盗版的机制 —— 它会感染其软件盗版副本的引导扇区,并显示他们的姓名、地址和电话号码,实际上是要求侵权用户联系他们以获取“合法”副本。它通过软盘在全球范围内传播,这主要是因为当时根本不存在专门的防病毒软件和正式的事件响应实践。无论其最初意图如何,Brain 在历史上的重要性有着另一层原因:它证明了自我复制的代码完全可以脱离网络,在不相关的系统之间移动 —— 这是一个基础性的教训,塑造了未来四十年整个恶意软件格局以及为对抗它而建立的安全产业的发展。现代恶意软件研究领域最早的篇章有着直接的巴基斯坦起源,这是一个值得注意但经常被忽视的事实。 ## 免责声明 本仓库中的所有内容仅出于教育和防御性研究目的汇编,参考了公开记录的案例研究(CISA、FBI、MITRE ATT&CK、Wikipedia、供应商威胁报告等)。本仓库不包含也不会包含恶意软件源代码、可用的 payload 或漏洞利用工具。请负责任地使用这些知识,并且仅在授权、合法的背景下(实验室、CTF 以及具有明确许可的测试活动)使用。 ## 相关仓库 - [privilege-escalation-lab](https://github.com/sigintrecon/privilege-escalation-lab) - [vuln-analysis-notes](https://github.com/sigintrecon/vuln-analysis-notes) ## 许可证 教育用途 —— MIT 许可证(仅限文档,不包含操作工具)。

SigintRecon 构建和维护 —— 迈向红队运作结构化路径的一部分。

标签:DAST, 威胁情报, 安全教育, 开发者工具, 恶意软件分析, 防御加固, 防御策略