likith-raj/SOC-Malware-Investigation-Case-Study-01
GitHub: likith-raj/SOC-Malware-Investigation-Case-Study-01
一个基于 Agent Tesla 恶意样本的 SOC 调查案例研究,完整展示端到端恶意软件分析流程与 IOC 提取方法论。
Stars: 0 | Forks: 0
# 🛡️ SOC 恶意软件调查案例研究 #01
## 基于 JavaScript 的凭证窃取程序分析 (Agent Tesla)
---
## 📌 概述
本仓库记录了在受控虚拟实验室环境中执行的一次端到端恶意软件调查。分析重点针对一个基于 JavaScript 的凭证窃取程序(Agent Tesla 家族),该程序使用 SMTP 进行数据外发。
**核心分析领域:**
- 静态分析 (VirusTotal)
- 动态分析 (ANY.RUN Sandbox)
- 进程树调查
- MITRE ATT&CK 映射
- 网络流量分析
- IOC 提取
- 威胁情报丰富化
⚠️ **免责声明:** 本仓库仅供教育和防御性网络安全目的使用。不包含任何恶意软件二进制文件。
---
## 🎯 目标
- 在隔离环境中分析可疑恶意软件样本
- 观察执行流程和进程链
- 识别妥协指标 (IOC)
- 将技术映射到 MITRE ATT&CK 框架
- 以专业 SOC 案例研究的形式记录调查结果
---
## 🖥️ 实验室环境
| 组件 | 描述 |
|-----------|-------------|
| 操作系统 | Windows 10 虚拟机 |
| Hypervisor | VirtualBox |
| 静态分析 | VirusTotal |
| 恶意软件来源 | MalwareBazaar |
| 动态分析 | ANY.RUN Sandbox |
| 威胁情报 | AbuseIPDB, MXToolbox |
---
## 🔄 调查工作流
钓鱼邮件 → ZIP 附件 → JavaScript 文件 → wscript.exe → Payload 执行 → SMTP 外发 → IOC 提取
text
---
## 📊 关键发现
### 进程链
SOA MAY-JUNE 2026.JS
↓
wscript.exe
↓
OGGRKYFCDOGVQAPM.PIF (Agent Tesla Payload)
↓
conhost.exe
text
### MITRE ATT&CK 映射
| 战术 | 技术 |
|--------|-----------|
| 执行 | JavaScript (T1059.007) |
| 发现 | 系统信息发现 (T1082) |
| 凭证访问 | 来自 Web 浏览器的凭证 (T1505.001) |
| 收集 | 数据暂存 (T1074) |
| 外发 | 基于 SMTP 的外发 (T1048) |
### 网络指标
- **域名:** `mail.allportcargoservice.com`
- **IP:** `179.43.183.46`
- **端口:** `587/TCP` (SMTP)
---
## 📸 截图
### 1. 进程树分析

*图 1:在 ANY.RUN 中观察到的进程执行链*
### 2. MITRE ATT&CK 映射

*图 2:检测到的 MITRE ATT&CK 技术*
### 3. SMTP 外发

*图 3:用于数据外发的 SMTP 通信*
---
## 🔍 妥协指标 (IOC)
### 文件
- `SOA MAY-JUNE 2026.JS`
- `OGGRKYFCDOGVQAPM.PIF`
### 进程
- `wscript.exe`
- `conhost.exe`
### 网络
- `mail.allportcargoservice.com`
- `179.43.183.46`
- `587/TCP`
---
## 🛡️ 检测机会
安全团队可以通过监控以下内容来检测类似威胁:
- 通过 `wscript.exe` 执行的 JavaScript
- 来自终端的出站 SMTP 流量
- 与外部邮件服务器的意外连接
- 浏览器凭证访问尝试
- 可疑的进程链
---
## 📚 展示技能
- 恶意软件分析
- 动态分析
- 威胁狩猎
- IOC 提取
- 威胁情报
- 进程分析
- 网络分析
- MITRE ATT&CK 映射
- 蓝队调查
---
## 🔧 使用工具
- VirusTotal
- MalwareBazaar
- ANY.RUN
- AbuseIPDB
- MXToolbox
- VirtualBox
---
## 📝 结论
调查确认该样本是一个**基于 JavaScript 的凭证窃取程序**(Agent Tesla 家族)。该恶意软件会:
1. 通过 `wscript.exe` 执行
2. 释放次级 payload
3. 收集系统和浏览器凭证
4. 通过 SMTP 外发数据
本案例研究展示了真实的 SOC 调查方法论和威胁狩猎技术。
---
## 📌 免责声明
本仓库**仅出于教育和防御性网络安全目的**。所有分析均在隔离的虚拟实验室内进行。不包含任何恶意软件二进制文件或可执行 payload。
---
## 👨💻 作者
**Likith Raj** - SOC 分析师
[](https://www.linkedin.com/in/likith-raj-267213318/)
[](https://github.com/likith-raj)
---
**🔒 #SOC #MalwareAnalysis #BlueTeam #IncidentResponse #ThreatHunting**
标签:ATT&CK映射, DAST, SOC案例分析, 后端开发, 威胁情报, 开发者工具, 恶意软件分析, 无线安全, 速率限制处理