ines-saouli/pushdo-malware-investigation

GitHub: ines-saouli/pushdo-malware-investigation

一个模拟 SOC 环境下 Pushdo 木马感染的安全调查项目,完整展示从告警分析到事件报告的蓝队调查流程。

Stars: 0 | Forks: 0

# 🚨 Pushdo 恶意软件调查 # 📖 概述 本项目展示了在 **Cisco CyberOps Associate** 认证的实际评估期间进行的完整安全调查。 该场景模拟了 **Tier 1 安全运营中心 (SOC) 分析师** 响应企业网络内检测到的恶意软件感染的工作。 调查重点在于识别: - 受害工作站; - 感染时间线; - 下载的恶意软件; - 命令与控制 (C2) 通信; - 入侵指标 (IOC); - 对组织的整体影响。 调查使用了多种蓝队工具,包括 **Security Onion**、**Sguil**、**Kibana**、**NetworkMiner** 和 **VirusTotal**。 # 🎯 目标 本次调查的目的是: - 分析 Security Onion 生成的安全警报 - 识别受损端点 - 重构攻击时间线 - 识别恶意域名和 IP 地址 - 提取恶意软件哈希值 - 使用 VirusTotal 验证恶意软件样本 - 收集入侵指标 (IOC) - 撰写事件调查报告 - 提出修复建议 # 🛠️ 使用的工具 | 工具 | 用途 | |------|----------| | Security Onion | 网络安全监控 | | Sguil | 警报调查 | | Kibana | 日志分析 | | NetworkMiner | 主机与文件提取 | | VirusTotal | 恶意软件信誉查询 | | Threat Intelligence | IOC 验证 | | DNS 分析 | 域名调查 | | HTTP 分析 | 下载分析 | # 🎭 分析师角色 在本次调查中,我担任 **SOC 分析师**,负责: - 监控警报; - 调查可疑活动; - 识别恶意软件; - 关联网络事件; - 收集取证证据; - 记录事件; - 提出遏制和修复措施。 # 🚨 执行摘要 受监控网络内的一台 Windows 工作站感染了 **Pushdo 木马下载器**。 调查显示,受损端点在与多个恶意域名建立出站通信后,下载了多个可执行文件。 对 Security Onion 警报的分析证实了其与 Pushdo 命令与控制基础设施的通信。 成功识别出三个恶意可执行文件: - **gerv.gun** - **trow.exe** - **wp.exe** 使用 VirusTotal 进行的 Threat Intelligence 分析证实,这三个文件均被众多杀毒引擎检测到并被归类为恶意软件。 收集到的证据表明,该工作站已成功被攻破,并具备了从远程基础设施下载额外恶意软件载荷的能力。 # 📅 调查工作流 本次调查遵循典型的 SOC 方法论: ``` Alert Generated │ ▼ Alert Investigation │ ▼ Host Identification │ ▼ Timeline Analysis │ ▼ IOC Collection │ ▼ Malware Analysis │ ▼ Threat Intelligence │ ▼ Incident Report ``` # 🔍 调查范围 本次调查侧重于回答以下几个关键问题: - 哪台主机受到了攻击? - 攻击是何时开始的? - 下载了哪些恶意软件? - 哪些外部系统与受害者进行了通信? - 哪些文件应被视为恶意文件? - 应该共享哪些入侵指标 (IOC)? - 应该实施哪些修复措施? # 📌 环境 该实际评估模拟了一个真实的企业安全运营中心。 受监控的环境从多个安全传感器生成警报,并将其集中到 **Security Onion** 中。 本次调查结合了来自多个来源的信息: - 网络 IDS 警报 - HTTP 会话 - DNS 查询 - 提取的文件 - 恶意软件信誉服务 - 主机信息 - 时间线重构 这种方法能够完整重构感染过程。 # 🧠 展示的技能 在本项目中,我积累了以下方面的实践经验: - 安全监控 - 警报分类 - 事件调查 - IOC 收集 - 恶意软件识别 - 时间线重构 - Threat Intelligence - 网络分析 - 蓝队方法论 - 事件记录 # 📂 仓库结构 ``` pushdo-malware-investigation/ │ ├── README.md ├── evidence/ ├── report/ └── diagrams/ ``` # 📅 时间线分析 调查是在 **Security Onion** 内生成多个警报后开始的。 收集到的日志显示,恶意活动发生在相对较短的时间内,这表明在初始攻陷后恶意软件被迅速执行。 | 事件 | 时间 (UTC) | |---------|-----------| | 初始可疑活动 | 2017-06-27 13:38:34 | | 首次可执行文件下载 | 2017-06-27 13:39 | | 额外恶意软件下载 | 2017-06-27 13:40 | | 命令与控制通信 | 2017-06-27 13:42 | | 观察到的活动结束 | 2017-06-27 13:44 | 此时间线说明了受害端点在执行下载器恶意软件后,多快就会被完全攻陷。 # 🖥️ 受损主机识别 调查的首要目标之一是识别受感染的工作站。 调查结果显示: | 项目 | 值 | |------|-------| | 内部 IP | 192.168.1.96 | | MAC 地址 | 00:15:C5:DE:C7:3B | | 制造商 | Dell Inc. | | 操作系统 | Windows | MAC 地址查询证实该工作站由 **Dell** 制造,这有助于识别企业网络内受影响的资产。 ![受害主机](https://static.pigsec.cn/wp-content/uploads/repos/cas/45/459983842dc2b3d771b4e5fe5e77d6f7b2fcccea9f427850a39ba04d84552128.jpg) # 🚨 Security Onion 警报 在调查期间,Security Onion 生成了多个 IDS 警报。 其中最重要的警报包括: ``` ET CURRENT_EVENTS WinHttpRequest Downloading EXE ET POLICY PE EXE or DLL Windows File Download HTTP ET CURRENT_EVENTS Terse Alphanumeric Executable Downloader ET TROJAN Backdoor.Win32.Pushdo.s Checkin ET TROJAN Pushdo.S CnC Response ET POLICY External IP Lookup Domain ``` 这些警报立即表明存在与外部基础设施通信的下载器恶意软件。 ![Security Onion 警报](https://static.pigsec.cn/wp-content/uploads/repos/cas/dc/dc42bdc68acfaa8037839f958891a95934d06bb8365fdc8f0264e2459bf9a9d4.jpg) # 🔎 警报分析 (Sguil) 使用 **Sguil** 对每个警报进行了单独审查,以确定: - 受影响的主机; - 外部 IP 地址; - 下载的文件; - 关联的域名; - 网络协议; - 时间戳。 多个警报之间的关联证实,该端点在联系命令与控制服务器之前已下载了多个可执行文件。 ![Sguil 调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/3f/3fb1aeb009cc7ad50bb083839c381a1bfa75381da978350e40b08d34a7f75316.png) # 🌐 网络指标 调查识别出了感染过程中涉及的几个外部系统。 ## 内部主机 ``` 192.168.1.96 ``` ## 外部 IP 地址 ``` 119.28.70.207 145.131.10.21 143.95.151.192 208.67.222.222 62.210.140.158 208.83.223.34 198.1.85.250 ``` ## 域名 ``` matied.com lounge-haarstudio.nl vantagepointtechnologies.com myip.opendns.com ``` 这些指标随后通过 Threat Intelligence 来源进行了验证。 # 📥 恶意下载 HTTP 分析显示,受感染的工作站下载了多个可疑的可执行文件。 调查识别出三个主要载荷: | 文件名 | 类型 | |----------|------| | gerv.gun | Win32 可执行文件 | | trow.exe | Win32 可执行文件 | | wp.exe | Win32 可执行文件 | 这些下载源自此前已被确认存在恶意活动的外部基础设施。 ![HTTP 下载](https://static.pigsec.cn/wp-content/uploads/repos/cas/b9/b977eb4dc532b5ce4efdb2259fef9a7442454a14e4baf723758e6c079b31d731.jpg) ![HTTP 下载](https://static.pigsec.cn/wp-content/uploads/repos/cas/57/57f5f558bdad13c1fc6d8cafd6f78ef927c5d5b4b6773a0903c4605fefb830c4.jpg) ![HTTP 下载](https://static.pigsec.cn/wp-content/uploads/repos/cas/bc/bc989bcf17a817e906614d7bf3d96d4e4fa4e861e9cac47fdf2977f68febf200.jpg) # 🧬 恶意软件验证 使用 **VirusTotal** 对每个可执行文件进行了分析。 信誉分析确认,每个文件都已被数十家防病毒供应商检测到。 | 文件 | 检测结果 | |------|-----------| | gerv.gun | 恶意 | | trow.exe | 恶意 | | wp.exe | 恶意 | VirusTotal 还提供了: - 备用文件名; - 历史检测记录; - 文件哈希值; - 行为指标; - 威胁分类。 ![VirusTotal 结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/c5/c5f1b00b9ce52d7a88fcfd25773f9cf971d5690e1dd6fc6d5d3e62c07d72043e.jpg) ![VirusTotal 结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/d5/d593477ed79b62ac44566116f7035f74fddd4d2694d738151684c246f7ff1806.jpg) ![VirusTotal 结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/9a/9ae4409829c571108d496ca29a048c6fc44a999f3ae327b60c7d3b7e123eb3b0.jpg) # 🎛️ 命令与控制分析 最重要的发现之一是受感染工作站与攻击者基础设施之间的通信。 两个 IDS 警报复核了这一行为: ``` Backdoor.Win32.Pushdo.s Checkin ``` 和 ``` Pushdo.S CnC Response ``` 这些事件表明,该恶意软件不再仅仅是下载文件。 相反,受害端点已成功与其**命令与控制服务器**建立通信,允许远程操作者潜在地控制受损系统。 ![命令与控制通信](https://static.pigsec.cn/wp-content/uploads/repos/cas/62/62c2151c307f294813dc209fb55e3099d20b3f175293bcd1c9fcf525e494e49d.jpg) # 🔗 攻击链 ``` flowchart TD A[Security Onion Alert] A --> B[Sguil Investigation] B --> C[Compromised Host] C --> D[Malicious Domains] D --> E[Downloaded Executables] E --> F[VirusTotal Verification] F --> G[IOC Collection] G --> H[Command & Control] H --> I[Incident Report] ``` # 🦠 恶意软件分析 ## Pushdo 概述 Pushdo 是一种**木马下载器**,其主要目标是感染系统并从远程服务器检索额外的恶意载荷。 一旦执行,Pushdo 就会与攻击者控制的基础设施建立出站通信,然后下载并执行二级恶意软件。 该恶意软件家族在历史上一直与以下内容有关: - 垃圾邮件僵尸网络 - 银行恶意软件分发 - 凭据窃取 - 恶意软件投递活动 - 远程命令与控制通信 由于 Pushdo 主要作为下载器运行,初始感染可能会根据投递的载荷迅速演变为更大规模的系统沦陷。 # 📂 入侵指标 (IOC) ## 🖥️ 主机指标 | 类型 | 值 | |------|-------| | 内部主机 | 192.168.1.96 | | 供应商 | Dell Inc. | | 操作系统 | Windows | ## 🌍 网络指标 ### 外部 IP 地址 ``` 119.28.70.207 145.131.10.21 143.95.151.192 208.67.222.222 62.210.140.158 208.83.223.34 198.1.85.250 ``` ### 恶意域名 ``` matied.com lounge-haarstudio.nl vantagepointtechnologies.com myip.opendns.com ``` ## 📄 恶意文件 ``` gerv.gun trow.exe wp.exe ``` ## 🚨 IDS 特征码 ``` ET TROJAN Backdoor.Win32.Pushdo.s Checkin ET TROJAN Pushdo.S CnC Response ET CURRENT_EVENTS WinHttpRequest Downloading EXE ET POLICY PE EXE or DLL Windows File Download HTTP ``` # 🛡️ MITRE ATT&CK 映射 | 技术 | 描述 | |------------|-------------| | T1071.001 | 应用层协议:Web 协议 | | T1105 | 进入工具传输 | | T1189 | 诱饵妥协 | | T1204 | 用户执行 | | T1059 | 命令和脚本解释器 | | T1071 | 命令与控制 | 这些技术代表了调查期间观察到的攻击者行为。 # ⚠️ 风险评估 | 类别 | 风险 | |----------|------| | 恶意软件感染 | 🔴 严重 | | 命令与控制 | 🔴 严重 | | 额外载荷下载 | 🔴 严重 | | 数据窃取 | 🟠 高 | | 横向移动 | 🟠 高 | | 持久化 | 🟠 高 | 此次感染构成了重大风险,因为受损端点能够下载额外的恶意软件并与攻击者基础设施进行通信。 # 🛠️ 事件响应建议 ## 立即遏制 - 将受感染的工作站与网络断开 - 阻断所有已识别的恶意 IP 地址 - 在 DNS 层面阻止恶意域名 - 在清理前保留取证证据 ## 调查 - 收集易失性内存 - 保留系统日志 - 获取恶意软件样本 - 在所有企业端点中搜索已识别的哈希值 - 审查 DNS 请求 - 审查代理日志 ## 根除 - 移除恶意可执行文件 - 重置受损凭据 - 为存在漏洞的软件打补丁 - 执行全面的防病毒扫描 - 如果无法保证完整性,则重新安装操作系统 ## 恢复 - 恢复干净的备份 - 监控工作站 - 验证端点完整性 - 监控网络通信 - 验证安全控制措施 ## 预防 - 部署端点检测与响应 (EDR) - 实施应用程序白名单 - 加强 DNS 过滤 - 改进电子邮件过滤 - 部署带有自动检测规则的 SIEM - 定期执行威胁狩猎活动 - 开展安全意识培训 # 📚 经验教训 本次调查加深了我对完整事件响应生命周期的理解。 在本项目中,我学习了如何: - 调查 IDS 警报; - 关联多个安全事件; - 识别受损端点; - 分析恶意软件指标; - 调查可疑的 HTTP 流量; - 重构攻击时间线; - 使用 Threat Intelligence 验证恶意软件; - 识别命令与控制通信; - 记录技术发现; - 提出修复建议。 # 🚀 展示的技能 ## 蓝队 - 安全监控 - 事件调查 - 警报分类 - IOC 收集 - 威胁狩猎 - 恶意软件分析 - 时间线重构 ## 网络分析 - DNS 分析 - HTTP 分析 - 流量调查 - 网络指标 - 主机识别 ## 威胁 Intelligence - VirusTotal - 恶意软件信誉查询 - IOC 验证 - 哈希分析 ## SOC 平台 - Security Onion - Sguil - Kibana - NetworkMiner # 📈 调查总结 ``` flowchart LR A[Security Onion] --> B[Sguil] B --> C[Host Identification] C --> D[Network Analysis] D --> E[Malware Identification] E --> F[VirusTotal] F --> G[IOC Collection] G --> H[Threat Intelligence] H --> I[Incident Report] ``` # 🎯 成果 本项目展示了我在 SOC 环境中进行结构化恶意软件调查的能力。 在整个调查过程中,我实践了: - 警报分类; - 恶意软件识别; - IOC 提取; - 网络分析; - Threat Intelligence; - 事件记录; - 安全报告。 这些都是 **初级 SOC 分析师** 职位所需的基本技能。 #📄 报告 仓库内提供了一份总结性的事件报告。 ``` report/ ``` # ⚠️ 免责声明 本项目作为 **Cisco CyberOps Associate** 培训的一部分,在受控的教育环境中完成。 本 README 包含了对调查的个人总结,**并不**代表复制了 Cisco 的官方评估材料。
标签:DAST, IP 地址批量处理, 威胁情报, 安全运营中心, 库, 应急响应, 开发者工具, 恶意软件分析, 数字取证, 网络信息收集, 网络映射, 网络流量分析, 自动化脚本, 越狱测试