WalBuk28/penetration-testing-malware-analysis

GitHub: WalBuk28/penetration-testing-malware-analysis

一份涵盖黑盒渗透测试(96 项发现)与恶意软件逆向分析的综合安全实践报告,将攻防成果转化为优先级补救方案与可实施的检测逻辑。

Stars: 0 | Forks: 0

# 渗透测试与恶意软件分析 两项互补的攻防演练: 1. 针对一台遗留银行主机(“Besure Bank”)的**黑盒渗透测试** — 96 项发现,端到端枚举并手动验证。 2. 一项**高级恶意软件调查**,逆向分析了一个武器化 PDF → 服务 DLL → 下载器集群以及一个栈溢出二进制文件,并将其映射至 MITRE ATT&CK,同时提供了可实施的检测方案。 ## 第一部分 — 黑盒渗透测试:“Besure Bank” 目标 `192.168.50.130`,无先验知识,采用分阶段与限速的方法论。 ### 方法论 `Nmap` 侦察 → `Nessus Essentials` 漏洞扫描 → `testssl.sh` / `OpenSSL` 加密分析 → `Metasploit` 漏洞利用尝试 — **所有工具 结果均经过手动验证**以消除误报。 ### 主要发现 — 共 96 项(2 项严重 · 15 项高危 · 26 项中危) | 严重程度 | 发现 | |---|---| | 🔴 严重 | **启用 SSLv2/SSLv3** → POODLE (CVE-2014-3566) 与 DROWN (CVE-2016-0800) | | 🔴 严重 | **PHP 4.2.2** (EOL) — 存在多个公开的 RCE / 内存损坏漏洞利用 | | 🟠 高危 | 停止维护的技术栈:**OpenSSH 3.1p1**(启用 SSHv1),**Apache 2.0.40** | | 🟠 高危 | 弱加密算法 — RC4、EXPORT、3DES/**SWEET32**;TLS 1.0;过期的自签名证书 (2007) | | 🟡 中危 | 启用 HTTP **TRACE** (XST);暴露的 `phpinfo.php`;登录错误消息可导致**用户枚举** | ### 成果 一份包含战术与战略补救措施以及补丁管理 生命周期的优先级报告 — 将原始扫描器输出转化为具有防御性、业务可读的 风险视图。 ## 第二部分 — 恶意软件调查 静态分析(`PDFiD`、`peepdf`、`PDFStreamDumper`、PE 工具、`IDA Pro`) + 动态引爆(`ProcMon`、`Process Explorer`、`ApateDNS`) + 调试器主导的逆向工程 (`GDB` / REMnux),涵盖了四个样本文件。 | 样本文件 | 判定 | 证据 | |---|---|---| | **武器化 PDF** | 钓鱼初始访问 (Exploit.PDF-JS / **pdfka**) | `/JS`、`/AA`、`/EmbeddedFile`;使用 slice/concat 规避技术的混淆 XFA JavaScript;嵌套且具有欺骗性命名的文档 | | **服务 DLL** | svchost 持久化 | PE32 导出 `Install`/`ServiceMain`/`UninstallService`;`OpenSCManagerA`/`CreateServiceA`;伪装为 "Intranet Network Awareness (INA+)" / 服务 `IPRIP`;在 `svchost.exe` 内部加载 | | **下载器** | 第二阶段获取并执行 | `URLDownloadToFileA` → `WinExec` → `ExitProcess`;XOR-`0xFF` 字符串解码循环 | | **认证二进制文件** | 栈缓冲区溢出 | 在 `check_authentication()` 中使用无边界 `strcpy` 写入 16 字节缓冲区;GDB watchpoint 显示认证标志从 0 翻转为非零,证明可影响控制流 | ### MITRE ATT&CK 映射 | 技术 | 位置 | |---|---| | T1566.001 鱼叉式钓鱼附件 | 武器化 PDF | | T1204 用户执行 | PDF/下载器 | | T1218.011 Rundll32 | 服务 DLL 执行 | | T1543.003 Windows 服务 | `IPRIP` 持久化 | | T1112 修改注册表 | 服务注册 | ### 检测工程(低噪 / 高信噪比) - 当 `ServiceDll` 指向**用户可写** 路径时,对 `CreateServiceA` 发出告警。 - 当 `rundll32` 从用户目录执行 DLL 时发出告警。 - 针对 C2 主机的网络检测(参见 [IOCs.md](IOCs.md))。 ## 展示内容 完整的攻防闭环:在未知主机上发现并验证弱点,通过静态、动态以及调试器 证据逆向分析真实的恶意软件链条,并将二者转化为优先级的补救措施和**可实施的 检测逻辑** — 而不仅仅是一份 CVE 列表。 ## 注意 在隔离的实验室环境中针对提供的目标/样本进行。本仓库是 我自己的方法论和发现报告;此处不托管任何活体恶意软件。 ## 许可证 MIT © Syed Muhammad Waleed Bukhari
标签:CISA项目, Cloudflare, CTI, DAST, DNS 反向解析, MITRE ATT&CK, 云资产清单, 安全报告, 安全测试工具, 恶意软件分析, 插件系统, 知识库安全, 网络信息收集, 逆向工程