browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab
GitHub: browndarwin231-Tech/Darwin-VirusTotal-Malware-Analysis-Lab
基于 VirusTotal 平台的恶意软件分析实操实验室,演示 SOC 分析师进行文件检测、沙箱行为分析与威胁情报调查的完整工作流程。
Stars: 0 | Forks: 0
# Darwin-VirusTotal-恶意软件分析实验室
一个实操性的 VirusTotal 实验室,演示文件信誉分析、恶意软件检测、沙箱行为分析以及威胁情报调查。
## 概述
本项目演示了如何使用 VirusTotal 对示例文件进行恶意软件分析和威胁情报调查。该实验室涵盖了上传文件、审查防病毒检测、检查文件元数据、分析沙箱行为、调查相关 artifacts 以及审查社区情报的过程。
本项目演示了 SOC 一级分析师在恶意软件分类和初始事件调查期间执行的常见任务。
## 目标
- 上传文件进行恶意软件分析
- 审查防病毒检测结果
- 分析文件元数据和加密哈希
- 调查沙箱行为
- 检查相关域名、IP 地址和释放的文件
- 审查社区情报
- 了解基本的恶意软件调查工作流程
## 展示技能
- 恶意软件分析
- 威胁情报
- 文件信誉分析
- 哈希验证
- 沙箱分析
- MITRE ATT&CK 调查
- IOC 分析
- 网络安全文档编写
## 使用技术
- VirusTotal
- 多种防病毒引擎
- MITRE ATT&CK 框架
- 基于浏览器的沙箱分析
# 截图
## 1. VirusTotal 主页
打开 VirusTotal Web 界面以开始恶意软件分析。

## 2. 文件上传
上传选定的 PDF 文档进行恶意软件分析。

## 3. 选定上传的文件
在提交进行分析之前,确认所选的文件。

## 4. 文件分析结果
在文件处理完成后,显示总体扫描摘要和初步分析结果。

## 5. 检测结果
审查了来自多家防病毒供应商的检测结果。上传的文件 **0 次检测**,表明没有已知的恶意签名。

## 6. 文件详情
检查了文件元数据,包括 MD5、SHA-1、SHA-256 哈希、文件类型、文件大小、提交历史和文件名。

## 7. 行为分析
审查了沙箱行为分析,包括 MITRE ATT&CK 技术、释放的文件、网络通信和行为指标。

## 8. 关联关系
调查了在动态分析期间发现的被访问的域名、IP 地址、释放的文件以及相关 artifacts。
## 
## 9. 社区
审查了 VirusTotal 社区信息,以获取用户评论、信誉数据和社区情报。

# 关键要点
- 上传的文件可以同时被数十个防病毒引擎进行分析。
- 文件哈希可以唯一标识文件并有助于威胁情报。
- 沙箱行为提供了超越基于签名检测的宝贵见解。
- MITRE ATT&CK 映射有助于对攻击者的技术进行分类。
- 相关域名、IP 地址和释放的文件在调查期间提供了帮助。
- 社区情报为可疑文件提供了额外的上下文。
## 项目成果
成功使用 VirusTotal 完成了恶意软件分析工作流程,展示了 SOC 分析师的基础技能,包括文件信誉分析、威胁情报、行为分析以及对相关入侵指标 (IOC) 的调查。
## 作者
**Darwin Brown**
标签:Ask搜索, DAST, DNS 反向解析, VirusTotal, 威胁情报, 安全取证, 安全实验, 安全运营中心, 开发者工具, 恶意软件分析, 网络信息收集, 网络映射