Manjira13/malware-analysis-splunk
GitHub: Manjira13/malware-analysis-splunk
基于 Splunk Enterprise、Sysmon 和 REMnux 构建的恶意软件分析与威胁狩猎实验室,整合静态动态分析、IOC 提取与 SIEM 检测,模拟真实 SOC 工作流程。
Stars: 0 | Forks: 0
# 使用 Splunk 进行恶意软件分析与威胁狩猎
## 概述
本项目专注于在安全、隔离的环境中分析恶意软件样本,同时利用 **Splunk Enterprise** 进行日志收集、威胁狩猎和事件调查。其目标是通过将恶意软件分析与基于 SIEM 的检测和报告相结合,模拟真实世界中的安全运营中心(SOC)工作流程。
该项目包含**静态**和**动态**恶意软件分析技术,随后开发 Splunk 搜索、仪表板和检测逻辑,以识别恶意活动。
## 目标
* 构建安全的恶意软件分析实验室。
* 对恶意软件样本执行静态分析。
* 通过动态分析观察恶意软件行为。
* 使用 Sysmon 收集端点遥测数据。
* 将 Windows 日志接入 Splunk Enterprise。
* 使用 SPL 狩猎危害指标(IOC)。
* 创建检测搜索和仪表板。
* 生成结构化的恶意软件分析报告。
## 计划的实验室环境
* Windows 10/11 虚拟机
* REMnux 虚拟机
* Splunk Enterprise
* Splunk Universal Forwarder
* Sysmon
* VirusTotal
* PE Studio
* Any.Run(用于补充沙箱分析)
## 计划的工作流程
1. 准备一个隔离的恶意软件分析环境。
2. 收集文件哈希值(MD5、SHA1、SHA256)。
3. 使用 PE Studio 和 strings 执行静态分析。
4. 在受控沙箱中分析恶意软件行为。
5. 使用 Sysmon 收集 Windows 事件日志。
6. 将日志转发至 Splunk Enterprise。
7. 使用 SPL 调查恶意软件活动。
8. 提取危害指标(IOC)。
9. 将攻击者技术映射到 MITRE ATT&CK 框架。
10. 在专业的恶意软件分析报告中记录发现。
## 计划的功能
* 静态恶意软件分析
* 动态恶意软件行为分析
* IOC 提取
* 哈希验证
* 进程创建监控
* 网络连接分析
* 注册表持久化检测
* 文件活动监控
* 自定义 Splunk 仪表板
* SPL 检测查询
* 恶意软件分析报告
## 项目结构
```
Malware-Analysis-Splunk/
│
├── README.md
├── requirements.txt
├── reports/
├── dashboards/
├── spl_queries/
├── screenshots/
├── iocs/
└── samples/
```
## 当前进度
* [x] 构建实验室环境
* [x] 配置 Splunk Enterprise
* [x] 安装 Sysmon
* [x] 配置 Universal Forwarder
* [ ] 静态分析 – 样本 1
* [ ] 动态分析 – 样本 1
* [ ] 恶意软件报告 – 样本 1
* [ ] 恶意软件报告 – 样本 2
* [ ] 恶意软件报告 – 样本 3
* [ ] Splunk 仪表板
* [ ] 检测搜索
* [ ] GitHub 文档
## 展示的技能
* 恶意软件分析
* 威胁狩猎
* Splunk Enterprise
* 安全信息与事件管理(SIEM)
* Windows 事件日志分析
* Sysmon
* 事件调查
* 静态分析
* 动态分析
* 危害指标(IOC)
* MITRE ATT&CK
* 网络威胁检测
## 许可证
本仓库仅供教育和研究目的使用。
标签:DAST, Sysmon, Windows 调试器, 云安全监控, 安全运营中心, 恶意软件分析, 网络映射, 静态分析