WalBuk28/penetration-testing-malware-analysis
GitHub: WalBuk28/penetration-testing-malware-analysis
一份涵盖黑盒渗透测试(96 项发现)与恶意软件逆向分析的综合安全实践报告,将攻防成果转化为优先级补救方案与可实施的检测逻辑。
Stars: 0 | Forks: 0
# 渗透测试与恶意软件分析
两项互补的攻防演练:
1. 针对一台遗留银行主机(“Besure Bank”)的**黑盒渗透测试** —
96 项发现,端到端枚举并手动验证。
2. 一项**高级恶意软件调查**,逆向分析了一个武器化 PDF →
服务 DLL → 下载器集群以及一个栈溢出二进制文件,并将其映射至
MITRE ATT&CK,同时提供了可实施的检测方案。
## 第一部分 — 黑盒渗透测试:“Besure Bank”
目标 `192.168.50.130`,无先验知识,采用分阶段与限速的方法论。
### 方法论
`Nmap` 侦察 → `Nessus Essentials` 漏洞扫描 → `testssl.sh` /
`OpenSSL` 加密分析 → `Metasploit` 漏洞利用尝试 — **所有工具
结果均经过手动验证**以消除误报。
### 主要发现 — 共 96 项(2 项严重 · 15 项高危 · 26 项中危)
| 严重程度 | 发现 |
|---|---|
| 🔴 严重 | **启用 SSLv2/SSLv3** → POODLE (CVE-2014-3566) 与 DROWN (CVE-2016-0800) |
| 🔴 严重 | **PHP 4.2.2** (EOL) — 存在多个公开的 RCE / 内存损坏漏洞利用 |
| 🟠 高危 | 停止维护的技术栈:**OpenSSH 3.1p1**(启用 SSHv1),**Apache 2.0.40** |
| 🟠 高危 | 弱加密算法 — RC4、EXPORT、3DES/**SWEET32**;TLS 1.0;过期的自签名证书 (2007) |
| 🟡 中危 | 启用 HTTP **TRACE** (XST);暴露的 `phpinfo.php`;登录错误消息可导致**用户枚举** |
### 成果
一份包含战术与战略补救措施以及补丁管理
生命周期的优先级报告 — 将原始扫描器输出转化为具有防御性、业务可读的
风险视图。
## 第二部分 — 恶意软件调查
静态分析(`PDFiD`、`peepdf`、`PDFStreamDumper`、PE 工具、`IDA Pro`) +
动态引爆(`ProcMon`、`Process Explorer`、`ApateDNS`) + 调试器主导的逆向工程
(`GDB` / REMnux),涵盖了四个样本文件。
| 样本文件 | 判定 | 证据 |
|---|---|---|
| **武器化 PDF** | 钓鱼初始访问 (Exploit.PDF-JS / **pdfka**) | `/JS`、`/AA`、`/EmbeddedFile`;使用 slice/concat 规避技术的混淆 XFA JavaScript;嵌套且具有欺骗性命名的文档 |
| **服务 DLL** | svchost 持久化 | PE32 导出 `Install`/`ServiceMain`/`UninstallService`;`OpenSCManagerA`/`CreateServiceA`;伪装为 "Intranet Network Awareness (INA+)" / 服务 `IPRIP`;在 `svchost.exe` 内部加载 |
| **下载器** | 第二阶段获取并执行 | `URLDownloadToFileA` → `WinExec` → `ExitProcess`;XOR-`0xFF` 字符串解码循环 |
| **认证二进制文件** | 栈缓冲区溢出 | 在 `check_authentication()` 中使用无边界 `strcpy` 写入 16 字节缓冲区;GDB watchpoint 显示认证标志从 0 翻转为非零,证明可影响控制流 |
### MITRE ATT&CK 映射
| 技术 | 位置 |
|---|---|
| T1566.001 鱼叉式钓鱼附件 | 武器化 PDF |
| T1204 用户执行 | PDF/下载器 |
| T1218.011 Rundll32 | 服务 DLL 执行 |
| T1543.003 Windows 服务 | `IPRIP` 持久化 |
| T1112 修改注册表 | 服务注册 |
### 检测工程(低噪 / 高信噪比)
- 当 `ServiceDll` 指向**用户可写**
路径时,对 `CreateServiceA` 发出告警。
- 当 `rundll32` 从用户目录执行 DLL 时发出告警。
- 针对 C2 主机的网络检测(参见 [IOCs.md](IOCs.md))。
## 展示内容
完整的攻防闭环:在未知主机上发现并验证弱点,通过静态、动态以及调试器
证据逆向分析真实的恶意软件链条,并将二者转化为优先级的补救措施和**可实施的
检测逻辑** — 而不仅仅是一份 CVE 列表。
## 注意
在隔离的实验室环境中针对提供的目标/样本进行。本仓库是
我自己的方法论和发现报告;此处不托管任何活体恶意软件。
## 许可证
MIT © Syed Muhammad Waleed Bukhari
标签:CISA项目, Cloudflare, CTI, DAST, DNS 反向解析, MITRE ATT&CK, 云资产清单, 安全报告, 安全测试工具, 恶意软件分析, 插件系统, 知识库安全, 网络信息收集, 逆向工程