Manjira13/malware-analysis-splunk

GitHub: Manjira13/malware-analysis-splunk

基于 Splunk Enterprise、Sysmon 和 REMnux 构建的恶意软件分析与威胁狩猎实验室,整合静态动态分析、IOC 提取与 SIEM 检测,模拟真实 SOC 工作流程。

Stars: 0 | Forks: 0

# 使用 Splunk 进行恶意软件分析与威胁狩猎 ## 概述 本项目专注于在安全、隔离的环境中分析恶意软件样本,同时利用 **Splunk Enterprise** 进行日志收集、威胁狩猎和事件调查。其目标是通过将恶意软件分析与基于 SIEM 的检测和报告相结合,模拟真实世界中的安全运营中心(SOC)工作流程。 该项目包含**静态**和**动态**恶意软件分析技术,随后开发 Splunk 搜索、仪表板和检测逻辑,以识别恶意活动。 ## 目标 * 构建安全的恶意软件分析实验室。 * 对恶意软件样本执行静态分析。 * 通过动态分析观察恶意软件行为。 * 使用 Sysmon 收集端点遥测数据。 * 将 Windows 日志接入 Splunk Enterprise。 * 使用 SPL 狩猎危害指标(IOC)。 * 创建检测搜索和仪表板。 * 生成结构化的恶意软件分析报告。 ## 计划的实验室环境 * Windows 10/11 虚拟机 * REMnux 虚拟机 * Splunk Enterprise * Splunk Universal Forwarder * Sysmon * VirusTotal * PE Studio * Any.Run(用于补充沙箱分析) ## 计划的工作流程 1. 准备一个隔离的恶意软件分析环境。 2. 收集文件哈希值(MD5、SHA1、SHA256)。 3. 使用 PE Studio 和 strings 执行静态分析。 4. 在受控沙箱中分析恶意软件行为。 5. 使用 Sysmon 收集 Windows 事件日志。 6. 将日志转发至 Splunk Enterprise。 7. 使用 SPL 调查恶意软件活动。 8. 提取危害指标(IOC)。 9. 将攻击者技术映射到 MITRE ATT&CK 框架。 10. 在专业的恶意软件分析报告中记录发现。 ## 计划的功能 * 静态恶意软件分析 * 动态恶意软件行为分析 * IOC 提取 * 哈希验证 * 进程创建监控 * 网络连接分析 * 注册表持久化检测 * 文件活动监控 * 自定义 Splunk 仪表板 * SPL 检测查询 * 恶意软件分析报告 ## 项目结构 ``` Malware-Analysis-Splunk/ │ ├── README.md ├── requirements.txt ├── reports/ ├── dashboards/ ├── spl_queries/ ├── screenshots/ ├── iocs/ └── samples/ ``` ## 当前进度 * [x] 构建实验室环境 * [x] 配置 Splunk Enterprise * [x] 安装 Sysmon * [x] 配置 Universal Forwarder * [ ] 静态分析 – 样本 1 * [ ] 动态分析 – 样本 1 * [ ] 恶意软件报告 – 样本 1 * [ ] 恶意软件报告 – 样本 2 * [ ] 恶意软件报告 – 样本 3 * [ ] Splunk 仪表板 * [ ] 检测搜索 * [ ] GitHub 文档 ## 展示的技能 * 恶意软件分析 * 威胁狩猎 * Splunk Enterprise * 安全信息与事件管理(SIEM) * Windows 事件日志分析 * Sysmon * 事件调查 * 静态分析 * 动态分析 * 危害指标(IOC) * MITRE ATT&CK * 网络威胁检测 ## 许可证 本仓库仅供教育和研究目的使用。
标签:DAST, Sysmon, Windows 调试器, 云安全监控, 安全运营中心, 恶意软件分析, 网络映射, 静态分析