IDM411/malware-analysis-catalyst
GitHub: IDM411/malware-analysis-catalyst
一份基于 PoetRAT 恶意软件感染案例的事件响应与威胁情报分析实验报告,记录了从初始报告拆解、IOC 验证到根因分析与整改建议的完整调查流程。
Stars: 0 | Forks: 0
# 我的实验报告:威胁情报与事件响应案例研究 (IR-2023-002)
## 🎯 本实验的核心内容
本仓库记录了我为 CodePath 网络安全培训课程的每周项目所进行的一项深入调查。该作业要求我拿到一份杂乱且未经核实的初始企业恶意软件感染事件报告,并将其进行拆解分析,以查明*实际*发生了什么。我并没有仅仅停留在初始报告的表面,而是使用了 **VirusTotal** 和 **AbuseIPDB** 等 OSINT 威胁情报工具来重构时间线,将真正的威胁与误报区分开来,并追查最初导致攻击发生的架构安全缺陷。
我使用 **Catalyst** 事件管理平台跟踪并记录了整个案例。
## 🛠️ 环境搭建与安全习惯养成
### 🖥️ 在 VirtualBox 中启动 Ubuntu VM
为了在不弄乱我个人实体计算机的情况下安全地处理这项调查,我启动了一个 **VirtualBox 中的 Ubuntu Linux VM**。拥有一个隔离的沙盒环境非常有用,因为它为你提供了一个安全的空间来分析可疑字符串、清理数据以及运行 OSINT 查询,而不必担心恶意软件在个人设备上被意外执行。
### 🛡️ 养成“去除危害”的习惯
在这个每周的 CodePath 项目中,我学到的最酷的实用习惯之一就是对恶意网络指标进行**去除危害**。在我的 Ubuntu 终端中,我在将危险字符串写入文档之前手动对其进行了净化处理——将协议转换为 `hxxp://`,并为十进制数字添加括号(例如将原始 IP 转换为 `93[.]184[.]216[.]34`)。
掌握这项技能非常有用,因为它可以防止工单系统或 Markdown 文件意外地将文本渲染为活动的可点击链接。这是一个微小却至关重要的习惯,可以避免你或你的团队成员在调查过程中意外点击恶意链接。
## 📊 Catalyst 案例管理与分诊
以下是我如何根据我的分诊发现,在 Catalyst 平台中设置并对该事件进行分类的:
### 我的 Catalyst 仪表板
* **事件标题:** `IR-2023-002: Malware Infection`
* **严重级别:** 高
* **评级为高的原因:** 这不仅仅是一个基本的广告软件弹窗;用户运行了一个远程访问木马 (RAT)。在这个模块中学习 RAT 让我意识到它们有多么危险——它们简直赋予了黑客对受害者机器的完全交互式控制权。这意味着他们可以窃取文件、投放勒索软件,或者绕道攻击网络上的其他系统。
* **TLP 选择:** AMBER
* **适合 TLP:AMBER 的原因:** 此案例文件包含敏感的内部细节,例如员工姓名 (Bob Anderson) 和特定的计算机 ID (`PC-002`)。将其标记为 AMBER 可确保这些数据仅限于我们的直属安全团队访问,从而防止外部行为者看到我们的内部设置或利用我们已知的防御漏洞。
## 🔍 我的威胁情报与 IOC 研究笔记
使用公开的威胁情报工具深入挖掘失陷标志 (IOC),彻底改变了我对初始事件报告的看法。以下是我的发现:
### 1. 武器化文件 (恶意软件哈希)
* **值:** `3AADBF7E527FC1A050E1C97FEA1CBA4D` (MD5)
* **状态:** 🔴 恶意
* **我的发现:** VirusTotal 立即将其标记为激进的 **48/63 恶意评分**。尽管它看起来像一个名为 `docer.doc` 的无害 Word 文档,但它里面塞满了恶意宏。通过查看代码细节,我了解到攻击者将函数 (`bin2var` / `var2bin`) 隐藏在虚假的“诗意注释”中——这是 **PoetRAT** 恶意软件家族旨在欺骗自动化过滤器的经典特征。
### 2. 网络流量 (IP 地址)
* **值:** `93[.]184[.]216[.]34`
* **状态:** 🟢 安全 / 良性
* **我的发现:** 这真的让我大开眼界。最初的 IR 报告声称该 IP 属于黑客的活动服务器。但是,当我在 VirusTotal(90/91 安全评级)和 AbuseIPDB(0% 欺诈评分)上对其进行交叉比对时,我证明了它实际上是完全安全的。它归 EdgeCast Networks 所有,并解析到标准验证网站 `example.com`。
### 3. 传播链接 (钓鱼域名)
* **值:** `bad-weather-app[.]net`
* **状态:** 🔴 恶意
* **我的发现:** 从技术上讲,VirusTotal 给出了干净的 0/91 评分,但这正是学习结合上下文进行观察的关键所在。因为这是一个实验室模拟环境,公开的黑名单尚未记录它。在现实世界中,这是一个在攻击前刚刚注册的典型“一次性”域名。时间线清楚地表明,这正是用于托管和传递初始恶意软件下载 (`download123.doc`) 的确切网站。
### 💡 重大发现:揪出 IP 地址错误
我在原始报告中发现的*未*提及的最有趣的事情是,为什么恶意软件会去 ping 那个安全的 `example.com` IP。第一响应人惊慌失措,并认为这是黑客流量。通过深入挖掘,我发现该恶意软件只是在执行标准的“互联网心跳检查”,以便在尝试连接到其*真正*的恶意基础设施之前,查看受感染的计算机是否具有活动的互联网连接。学会如何发现这种区别意义重大,因为对一个安全 IP 指手画脚会浪费安全团队的时间,并可能完全使调查偏离正轨。
## 🧠 经验教训与发现安全漏洞
### 🚨 “无限循环”错误:差距分析
在以审查者的身份阅读 Alice 的初始报告时,我注意到了一个巨大的流程缺陷:她记录了自己在 16:20 进行了系统备份,然后又在 16:50 “还原”了计算机,但是**她从未解释她使用的是什么镜像来进行还原。** 这对我来说是一个极好的教训,因为它突出了一个重大漏洞:如果她清除了机器并使用她在 RAT 处于活动状态时进行的备份来还原系统,那简直是亲手重新安装了病毒!如果不验证干净的镜像来源,我们实际上无法确定计算机是否已彻底清理。
### 🛡️ 根本原因:检测漏洞
观察文件是如何运行的,这里最大的技术失败在于完全缺失了 **EDR (端点检测与响应) 应用程序执行策略**。因为公司没有制定规则来阻止未经签名、未经验证的二进制文件在用户空间外运行,普通员工能够从浏览器下载一个可疑文件,并立即执行它,而操作系统并没有介入进行阻止。
### 🚀 我的具体建议
为了解决这个问题,公司需要在所有员工计算机上安装**集中式 DNS 层 Web 过滤系统**(例如 Cisco Umbrella 或 Cloudflare Gateway)。认识到这一点非常有用:你无法总是阻止人类在社交媒体上点击恶意链接,但你*可以*切断网络连接。Web 过滤器会自动阻止对未验证或全新域名的访问,这意味着连接会在病毒文件被下载之前断开。
## 🏁 最终事件定性
* **我的分类:** 真阳性
* **我的理由:** 尽管第一响应人的报告存在重大的分析漏洞并错误地识别了一个安全 IP 地址,但确实发生了一起真实的安全违规事件。一名用户被社交媒体链接欺骗,绕过了不存在的端点控制措施,并在企业硬件上执行了一个高度危险的远程访问木马。威胁是真实存在的,而且系统也确确实实被攻陷了。
标签:DAST, ESC4, OSINT, 威胁情报, 安全实验报告, 库, 应急响应, 开发者工具, 恶意软件分析