shravanisgh/Malware-Behavior-Analysis-IOC-Dashboard

GitHub: shravanisgh/Malware-Behavior-Analysis-IOC-Dashboard

一款纯 Python 实现的离线恶意软件行为日志分析器,通过解析静态遥测日志自动提取 IOC、映射 MITRE ATT&CK 技术并生成加权威胁评分。

Stars: 0 | Forks: 0

# 恶意软件行为分析与 IOC 仪表板 一款安全、**离线**的行为日志分析器,用于恶意软件分诊和事件响应实践。它解析静态遥测日志(由 EDR、沙箱、Procmon 捕获或 SOC 导出产生的那种),重建攻击者行为,提取危害指标 (IOC),将观察到的活动映射到 **MITRE ATT&CK** 技术,并生成威胁评分、风险等级和书面调查报告。 ## 为什么开发这个项目 作为个人作品集在网络和威胁情报工具方向上的进阶项目而构建,旨在培养与 **DFSL**、**Police Cyber Cell** 以及 **CyberNX** 风格分析师工作相关的实用技能: | 项目 | 领域 | |---------------------------------|----------------------------------| | Advanced Network Scanner | 网络侦查 | | Subdomain Enumeration | 攻击面映射 | | Threat Intel Feed Parser | 威胁情报 | | Keylogging Threat Analysis | 威胁狩猎 | | **恶意软件行为分析与 IOC 仪表板** | **恶意软件分析 + 事件响应** | ## 工作流 ``` Sample Malware Log | v Log Parser | v Behavior Detection | v IOC Extraction | v Threat Scoring | v Dashboard Report ``` ## 功能 - **进程监控** — 标记 LOLBin 滥用(`powershell.exe`、`cmd.exe`、`rundll32.exe`、`mshta.exe`、`certutil.exe`、`schtasks.exe` 等)并跟踪父/子进程关系。 - **文件活动分析** — 检测暂存目录(`Temp`、`AppData`)中的 payload 投放以及安全工具的删除行为。 - **注册表活动检测** — 标记通过 `Run` / `RunOnce` 注册表键实现的持久化。 - **网络连接分析** — 提取出站 IP/端口,过滤已知的良性解析器(例如 `8.8.8.8`)以减少噪音。 - **DNS 查询分析** — 标记在恶意基础设施中常见的可疑/免费 TLD(`.xyz`、`.top`、`.club` 等)。 - **IOC 提取** — 去重后的 IP、域名、文件路径和注册表键,可导出为 JSON 以便接入 SIEM 或 TIP。 - **MITRE ATT&CK 映射** — 将检测到的行为映射到技术 ID(T1059、T1105、T1547.001、T1071、T1053.005、T1218、T1070、T1568)。 - **威胁评分与风险等级** — 采用加权评分模型生成 0–100 的分数,以及 LOW / MEDIUM / HIGH / CRITICAL 评级。 - **调查报告** — 人类可读的 `.txt` 报告,适合作为案件档案或分析报告的附件。 ## 项目结构 ``` Malware-Behavior-Analysis-Dashboard/ ├── malware_dashboard.py # Main analyzer (parser, detection, scoring, reporting) ├── sample_malware_log.txt # Simulated behavioral telemetry (safe, static, offline) ├── requirements.txt # No third-party deps — stdlib only ├── README.md ├── .gitignore ├── ULTRA_NOTES.md # Deep-dive design & viva/interview prep notes └── assets/ # Screenshots / diagrams for the repo (optional) ``` ## 用法 ``` # 针对 bundled sample log 运行 python malware_dashboard.py sample_malware_log.txt # 选择自定义 report 输出路径 python malware_dashboard.py sample_malware_log.txt --out case_2026_07_04.txt # 同时将提取的 IOC 导出为 JSON python malware_dashboard.py sample_malware_log.txt --json ioc_export.json ``` ### 示例日志格式 ``` [2026-07-04 10:15:22] Process Started: powershell.exe (PID 4521, Parent: winword.exe) [2026-07-04 10:15:26] Child Process: cmd.exe (PID 4522, Parent: powershell.exe) [2026-07-04 10:15:29] File Created: C:\Users\User\AppData\Local\Temp\payload.exe [2026-07-04 10:15:31] Registry Modified: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Update -> C:\Users\User\AppData\Local\Temp\payload.exe [2026-07-04 10:15:33] Network Connection: 185.220.101.5:443 (TCP) [2026-07-04 10:15:34] DNS Query: malicious-domain.xyz [2026-07-04 10:15:30] File Deleted: C:\Program Files\Windows Defender\WindowsDefender.exe ``` ### 示例输出 ``` ============================================================== MALWARE BEHAVIOR ANALYSIS REPORT ============================================================== Processes Analyzed : 10 Suspicious Processes : 6 Files Created : 5 Registry Changes : 2 Network Connections : 4 DNS Queries : 4 IOCs Extracted : 15 -------------------------------------------------------------- Threat Score : 100/100 Risk Level : CRITICAL ============================================================== MITRE ATT&CK TECHNIQUES OBSERVED -------------------------------------------------------------- T1059 Command and Scripting Interpreter T1105 Ingress Tool Transfer T1547.001 Boot or Logon Autostart Execution: Registry Run Keys T1071 Application Layer Protocol (C2) T1053.005 Scheduled Task/Job: Scheduled Task T1218 System Binary Proxy Execution T1070 Indicator Removal ``` ## 扩展项目 如果您想在面试中继续基于此项目进行开发,以下是一些关于 v2 版本的想法: - 摄入真实的沙箱输出格式(Cuckoo/CAPE JSON、Procmon CSV)。 - 添加 `--csv` IOC 导出功能,以便直接导入 MISP/OpenCTI。 - 添加 `--stix` 导出功能,生成一个基础的 STIX 2.1 bundle。 - 在相同的分析引擎之上添加一个简单的 Flask/Streamlit 前端。 - 添加 YARA 风格的规则文件,这样检测规则就不必硬编码在 Python 中。 ## 免责声明 本项目出于教育/作品集目的而构建。示例日志和 IOC 均为虚构/模拟,仅用于演示——本工具不会引用或连接任何真实的恶意基础设施。
标签:DAST, Python, 威胁情报, 子域名变形, 库, 应急响应, 开发者工具, 恶意软件分析, 无后门, 知识库安全, 网络信息收集, 逆向工具