Alphabot42/Malware_Analysis

# 恶意软件分析 本仓库包含与数个真实世界恶意软件家族相关的恶意软件分析报告和逆向工程笔记。 本仓库的目标是记录在恶意软件研究期间的技术调查、逆向工程发现及所使用的方法论。 # 仓库结构 ## 恶意软件分析报告 ### Cloud_Snooper 针对 Cloud Snooper 恶意软件及其命令与控制（C2）通信技术的分析。 涵盖的主题包括： * 网络通信 * 基础设施行为 * 隐蔽技术 ### HermeticWiper HermeticWiper 的逆向工程笔记，这是一种在针对乌克兰基础设施的网络攻击中使用的破坏性恶意软件。 分析涵盖： * 恶意软件架构 * 擦除机制 * 执行阶段 ### LummaC2 LummaC2 信息窃取器样本的技术分析。 调查侧重于： * API 哈希技术 * 命令与控制（C2）通信 * 逆向工程工作流 * 分析过程中使用的自动化脚本 ### SunShuttle 针对 SunShuttle 恶意软件活动及其通信工作流的技术分析。 该目录还包含用于复现和研究部分恶意软件通信协议的 Python 脚本。 这些脚本演示了恶意软件如何： * 检索会话密钥 * 与命令与控制（C2）服务器建立通信 * 发送加密数据 * 发送命令执行结果 创建这些脚本是为了更好地理解恶意软件的网络行为，并在分析期间复现协议的某些部分。 文件夹 `Sunshuttle_scripts` 包含调查期间使用的实验脚本。 # 分析方法论 本仓库中记录的调查遵循典型的恶意软件分析工作流： 1. 使用逆向工程工具进行静态分析 2. 在受控环境中进行行为分析 3. 基础设施调查和威胁情报 4. 技术发现文档化 # 使用的工具 分析期间使用的典型工具包括： * IDA Pro * x64dbg * REMnux * Python 分析脚本 * 威胁情报平台 # 作者 Natacha Bakir 恶意软件逆向工程 网络威胁情报 AI 安全研究 GitHub https://github.com/Alphabot42 LinkedIn https://www.linkedin.com/in/nbak/ 网站 https://malwaredissection.com # 免责声明 本仓库仅用于研究和防御性安全目的。 本仓库不分发恶意软件样本。

标签：API哈希, C2通信, Cloud Snooper, DAST, DNS 反向解析, HermeticWiper, HTTP工具, IP 地址批量处理, LummaC2, Monitoring, Python, SunShuttle, 乌克兰网络攻击, 云安全监控, 云资产清单, 信息窃取程序, 命令与控制, 威胁情报, 安全研究报告, 开发者工具, 恶意软件分析, 数字取证, 数据展示, 数据擦除器, 无后门, 样本分析, 红队, 网络协议分析, 网络基础设施, 网络安全, 自动化脚本, 逆向工具, 逆向工程, 隐私保护, 隐蔽技术, 静态分析