majdiahmadi/venomrat-static-malware-analysis

GitHub: majdiahmadi/venomrat-static-malware-analysis

针对 VenomRAT 远程访问木马样本的结构化静态分析报告,涵盖文件识别、IOC 提取、MITRE ATT&CK 映射及企业防御建议。

Stars: 0 | Forks: 0

Badge

VenomRAT 静态恶意软件分析

针对被识别为 VenomRAT 变种(远程访问木马)的 Windows PE32 可执行文件 voicememo.exe 的结构化静态分析。

概述工作流工具发现结构免责声明

## 概述 本仓库记录了对疑似远程访问木马(RAT)样本进行的静态恶意软件分析。其目的在于识别恶意软件的能力、提取妥协指标(IOC)、将行为映射到 MITRE ATT&CK 框架,并提出适用于企业环境的实用防御对策。 本仓库包含完整的分析报告、提取的 IOC、ATT&CK 映射、分析工具的截图以及精简的防御建议。 ## 样本详情 | 属性 | 值 | |-----------|-------| | **文件名** | voicememo.exe | | **文件类型** | PE32 可执行文件 (x86) | | **语言** | VB.NET (.NET Framework 4.0.30319) | | **大小** | 64.50 KB | | **家族** | VenomRAT(启发式检测) | | **来源** | MalwareBazaar (abuse.ch) | | **MD5** | `5adc3c60e781ac76dcb63d738c35d935` | | **SHA256** | `aa3edc3e51f643617408c856e5fcedd12d70438888c3b94359b057001384cbb4` | ## 分析工作流 ``` MalwareBazaar Sample | v Detect It Easy (DIE) ---> File type, architecture, compiler, heuristic detection | v Hash Generation ---> MD5, SHA1, SHA256 for unique identification | v Ghidra Reverse Engineering ---> String extraction, library/function analysis, decompilation | v VirusTotal Threat Intel ---> AV classifications, behavioral indicators, ATT&CK mapping | v IOC Extraction & Documentation | v MITRE ATT&CK Mapping | v Defensive Recommendations ``` ## 使用的工具 | 工具 | 用途 | |------|---------| | **Detect It Easy (DIE)** | 文件类型、架构、编译器识别,启发式恶意软件家族检测 | | **Ghidra** | 逆向工程、字符串提取、导入的库/函数分析、反编译 | | **VirusTotal** | 威胁情报、AV 检测结果、MITRE ATT&CK 行为映射 | | **PEStudio** | PE 头分析、导入表检查、指标筛查 | | **Linux Hash Utilities** | 密码学哈希生成(MD5、SHA1、SHA256) | ## 关键发现 ### 恶意软件分类 Detect It Easy 的启发式分析将该样本识别为 VenomRAT 的一种变种——这是一种可为攻击者提供受感染系统远程控制能力的远程访问木马。 ### 妥协指标 (IOC) - 用于威胁检测和情报源的**文件哈希** - **可疑 DLL 引用**:kernel32.dll、user32.dll、ntdll.dll、mscoree.dll - **安全工具引用**:Windows Defender 组件(MsMpEng.exe、MpCmdRun.exe)、Process Hacker、任务管理器、注册表编辑器——表明其具备防御规避能力 ### MITRE ATT&CK 技术 | 战术 | ID | 技术 | |--------|----|-----------| | Command & Control | T1071 | 应用层协议 | | Defense Evasion | T1562 | 损害防御 | | Defense Evasion | T1112 | 修改注册表 | | Collection | T1213 | 来自信息存储库的数据 | | Exfiltration | T1560 | 归档收集的数据 | ### 行为假设 基于静态分析的证据,该恶意软件可能会: 1. 通过应用层协议建立 C2 通信 2. 通过 WMI 查询收集系统侦察数据 3. 在数据外传前使用 GZIP 压缩窃取的数据 4. 修改注册表项以实现持久化和配置 5. 检测并规避安全/监控工具 ## 仓库结构 ``` venomrat-static-malware-analysis/ | |-- README.md # Repository overview and documentation |-- LICENSE # MIT License |-- .gitignore |-- report/ | +-- Static_Malware_Analysis_Report.pdf # Full analysis report (43 pages) |-- iocs/ | |-- hashes.md # Cryptographic hash values | +-- indicators.md # Full IOC documentation |-- mitre/ | +-- attack-mapping.md # MITRE ATT&CK technique mapping |-- recommendations/ | +-- defensive-controls.md # Network, endpoint, and monitoring controls |-- sample/ | +-- README.md # Sample information and disclaimer |-- screenshots/ | +-- README.md # Screenshot list and instructions (add your own) ``` ## 防御建议 | 层级 | 建议 | |-------|----------------| | **网络** | 部署针对 VenomRAT C2 签名的 NGFW 和 IDS/IPS 规则;监控出站流量;实施 DNS 监控 | | **Endpoint** | 启用具有防篡改保护的 EDR;强制执行 AppLocker;限制注册表写入权限;审计 Event ID 4657/4660 | | **监控** | 针对 IOC 命中配置 SIEM 告警;监控 WMI 查询模式;部署 DLP 以检测基于 GZIP 的数据外传 | | **用户** | 实行最小权限原则;开展安全意识培训;在电子邮件网关过滤可执行文件附件 | 有关详细分解,请参阅 [recommendations/defensive-controls.md](recommendations/defensive-controls.md)。 ## 样本免责声明 本仓库特意排除了原始的恶意软件样本。仅提供分析产物。详情请参阅 [sample/README.md](sample/README.md)。 ## 许可证 本项目基于 MIT 许可证授权 - 详见 [LICENSE](LICENSE) 文件。 ## 参考文献 - MalwareBazaar: https://bazaar.abuse.ch/ - MITRE ATT&CK: https://attack.mitre.org/ - Ghidra: https://ghidra-sre.org/ - Detect It Easy: https://github.com/horsicq/Detect-It-Easy
标签:DAST, HTTP工具, 云安全监控, 云资产清单, 威胁情报, 开发者工具, 恶意软件分析, 无线安全, 逆向工具, 逆向工程, 静态分析