browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab

GitHub: browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab

基于 VirusTotal 平台的恶意软件分析实操实验室,演示 SOC 分析师进行文件检测、沙箱行为分析与威胁情报调查的完整工作流程。

Stars: 0 | Forks: 0

# Darwin-VirusTotal-恶意软件分析实验室 一个实操性的 VirusTotal 实验室,演示文件信誉分析、恶意软件检测、沙箱行为分析以及威胁情报调查。 ## 概述 本项目演示了如何使用 VirusTotal 对示例文件进行恶意软件分析和威胁情报调查。该实验室涵盖了上传文件、审查防病毒检测、检查文件元数据、分析沙箱行为、调查相关 artifacts 以及审查社区情报的过程。 本项目演示了 SOC 一级分析师在恶意软件分类和初始事件调查期间执行的常见任务。 ## 目标 - 上传文件进行恶意软件分析 - 审查防病毒检测结果 - 分析文件元数据和加密哈希 - 调查沙箱行为 - 检查相关域名、IP 地址和释放的文件 - 审查社区情报 - 了解基本的恶意软件调查工作流程 ## 展示技能 - 恶意软件分析 - 威胁情报 - 文件信誉分析 - 哈希验证 - 沙箱分析 - MITRE ATT&CK 调查 - IOC 分析 - 网络安全文档编写 ## 使用技术 - VirusTotal - 多种防病毒引擎 - MITRE ATT&CK 框架 - 基于浏览器的沙箱分析 # 截图 ## 1. VirusTotal 主页 打开 VirusTotal Web 界面以开始恶意软件分析。 ![VirusTotal 主页](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/01-virustotal-homepage.png) ## 2. 文件上传 上传选定的 PDF 文档进行恶意软件分析。 ![文件上传](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/02-file-upload.png) ## 3. 选定上传的文件 在提交进行分析之前,确认所选的文件。 ![选定上传的文件](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/03-file-selected-for-upload.png) ## 4. 文件分析结果 在文件处理完成后,显示总体扫描摘要和初步分析结果。 ![文件分析结果](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/04-file-analysis-results.png) ## 5. 检测结果 审查了来自多家防病毒供应商的检测结果。上传的文件 **0 次检测**,表明没有已知的恶意签名。 ![检测结果](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/05-detection-results.png) ## 6. 文件详情 检查了文件元数据,包括 MD5、SHA-1、SHA-256 哈希、文件类型、文件大小、提交历史和文件名。 ![文件详情](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/06-the-file-details.png) ## 7. 行为分析 审查了沙箱行为分析,包括 MITRE ATT&CK 技术、释放的文件、网络通信和行为指标。 ![行为分析](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/07-behavior-analysis.png) ## 8. 关联关系 调查了在动态分析期间发现的被访问的域名、IP 地址、释放的文件以及相关 artifacts。 ## ![关联关系](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/08-the-relations.png) ## 9. 社区 审查了 VirusTotal 社区信息,以获取用户评论、信誉数据和社区情报。 ![社区](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab/main/screenshots/09-community.png) # 关键要点 - 上传的文件可以同时被数十个防病毒引擎进行分析。 - 文件哈希可以唯一标识文件并有助于威胁情报。 - 沙箱行为提供了超越基于签名检测的宝贵见解。 - MITRE ATT&CK 映射有助于对攻击者的技术进行分类。 - 相关域名、IP 地址和释放的文件在调查期间提供了帮助。 - 社区情报为可疑文件提供了额外的上下文。 ## 项目成果 成功使用 VirusTotal 完成了恶意软件分析工作流程,展示了 SOC 分析师的基础技能,包括文件信誉分析、威胁情报、行为分析以及对相关入侵指标 (IOC) 的调查。 ## 作者 **Darwin Brown**
标签:Ask搜索, DAST, DNS 反向解析, VirusTotal, 威胁情报, 安全取证, 安全实验, 安全运营中心, 开发者工具, 恶意软件分析, 网络信息收集, 网络映射