killvxk/conducting-malware-incident-response

恶意软件事件响应（Malware Incident Response）

适用场景

• EDR 或杀毒软件检测到一个或多个端点上的恶意软件执行
• 用户报告表明存在恶意软件感染的可疑系统行为
• 威胁情报显示针对该组织所在行业的恶意软件活动
• 网络监控检测到与已知恶意软件 C2 模式一致的信标流量
• 在沙箱中引爆文件后返回恶意结论

不适用于研究场景中的恶意软件样本分析；逆向工程请使用专用恶意软件分析流程。

前置条件

• 具有进程树可见性和主机隔离能力的 EDR 平台
• 恶意软件沙箱环境（Cuckoo、ANY.RUN、Joe Sandbox、Hybrid Analysis）
• 访问威胁情报平台以进行恶意软件家族识别（VirusTotal、MalwareBazaar）
• 用于证据保全的取证镜像工具（FTK Imager、KAPE）
• 用于端点重建的干净系统镜像或黄金镜像
• MITRE ATT&CK 框架参考以进行技术映射

工作流程

步骤 1：检测并确认恶意软件存在

验证恶意软件告警并收集初始指标：

• 查看 EDR 告警详情：检测名称、文件路径、哈希（SHA-256）、进程树
• 检查该检测是已知恶意软件家族还是通用启发式检测
• 在 VirusTotal、MalwareBazaar 和内部威胁情报中查询文件哈希
• 检查进程执行链以确定恶意软件的投递方式

检测摘要：
文件：       C:\Users\jsmith\AppData\Local\Temp\update.exe
SHA-256：    a1b2c3d4e5f6...
检测：       CrowdStrike: Malware/Qakbot | VirusTotal: 58/72 引擎
父进程：     WINWORD.EXE → cmd.exe → powershell.exe → update.exe
投递方式：   邮件附件（Invoice-Nov2025.docm）
网络：       每 60 秒向 185.220.101[.]42:443 发起 HTTPS POST 请求
持久化：     计划任务 "WindowsUpdate" → update.exe

步骤 2：评估感染范围

确定受影响系统数量及恶意软件的传播方式：

• 使用 EDR 在所有端点中搜索恶意软件哈希、文件名和行为指标
• 检查基于网络的传播（SMB、WMI、PsExec、漏洞利用）
• 查询邮件网关日志中投递邮件的所有收件人
• 从其他内部主机搜索与已识别基础设施的 C2 通信
• 检查所有已识别受感染主机上的持久化机制

步骤 3：遏制受感染系统

按照活跃攻陷遏制流程执行遏制措施：

• 通过 EDR 遏制功能对受感染端点进行网络隔离
• 在防火墙和 DNS 处阻断恶意软件 C2 基础设施
• 在 EDR 阻断策略中全组织范围阻断恶意软件哈希
• 从所有邮箱隔离投递邮件（如通过邮件投递）
• 如怀疑存在凭据窃取，禁用受攻陷用户账号

步骤 4：分析恶意软件

执行足够的分析以支持完整根除：

• 将样本提交沙箱进行动态分析（行为报告、释放文件、网络 IOC）
• 识别所有持久化机制：注册表键、计划任务、服务、WMI 订阅、启动目录
• 记录所有文件系统产物：释放的文件、修改的文件、创建的目录
• 提取网络 IOC：C2 域名、IP、URL、User-Agent、JA3/JA3S 哈希
• 将观察到的行为映射到 MITRE ATT&CK 技术

恶意软件分析摘要 - Qakbot 变体
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
初始访问：   T1566.001 - 鱼叉式网络钓鱼附件（.docm）
执行：       T1059.001 - PowerShell（编码的下载器）
持久化：     T1053.005 - 计划任务
防御规避：   T1055.012 - 进程空洞化（explorer.exe）
C2：         T1071.001 - 带自定义头部的 HTTPS
收集：       T1005 - 本地系统数据（浏览器凭据）
外泄：       T1041 - 通过 C2 通道外泄

产物：
- C:\Users\*\AppData\Local\Temp\update.exe（投放器）
- C:\ProgramData\Microsoft\{GUID}\config.dll（载荷）
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\{random}（备份持久化）
- 计划任务：「WindowsUpdate」（主要持久化）

步骤 5：根除恶意软件

从每个受感染系统中删除所有恶意软件产物：

• 终止恶意进程和注入的线程
• 从所有已识别路径删除恶意软件文件
• 移除持久化机制（计划任务、注册表键、服务、WMI 订阅）
• 如确认存在凭据收割，清空浏览器凭据存储
• 运行完整 EDR 扫描以验证没有产物残留
• 若根除置信度低，从已知干净的黄金镜像重建系统

步骤 6：恢复并验证

将系统恢复到生产状态并验证干净状态：

• 分阶段将被遏制系统重新接入网络
• 监控 72 小时内是否出现任何恶意软件指标的复发
• 强制对受感染端点的所有用户重置密码
• 验证整个环境中的 C2 流量已完全停止
• 基于调查中新发现的 IOC 更新检测规则
• 向威胁情报共享合作伙伴（ISAC、MISP）分发 IOC

核心概念

| 术语 | 定义 | |------|------| | 恶意软件家族（Malware Family） | 共享代码、基础设施或行为模式的恶意软件变体分类（如 Qakbot、Emotet、Cobalt Strike） | | 进程空洞化（Process Hollowing） | 恶意软件以挂起状态创建合法进程、将其内存替换为恶意代码然后继续执行的技术 | | 信标（Beacon） | 恶意软件向其 C2 服务器发送的周期性网络通信，通常具有固定间隔和抖动以规避检测 | | 投放器（Dropper） | 下载或解包主要载荷的初始恶意软件组件；通常通过网络钓鱼投递 | | 持久化机制（Persistence Mechanism） | 恶意软件用于在系统重启后存活的方法（注册表运行键、计划任务、服务、WMI 事件订阅） | | IOC（失陷指标，Indicator of Compromise） | 表明恶意软件存在的可观测产物，如文件哈希、IP 地址、域名或注册表键 |

工具与系统

• CrowdStrike Falcon / Microsoft Defender for Endpoint：用于检测、遏制和威胁狩猎的 EDR 平台
• ANY.RUN / Joe Sandbox：用于动态行为分析的交互式恶意软件沙箱
• VirusTotal / MalwareBazaar：用于样本识别和 IOC 丰富化的恶意软件情报平台
• KAPE（Kroll Artifact Parser and Extractor）：用于从受感染端点快速采集产物的取证分类工具
• YARA：基于观察到的指标创建自定义恶意软件检测规则的模式匹配引擎

常见场景

场景：Emotet 加载器导致 Cobalt Strike 部署

背景：EDR 检测到一个启用宏的文档生成 PowerShell，下载 Emotet DLL，随后加载 Cobalt Strike 信标。45 分钟内三台主机受到感染。

处理方法：

1. 立即隔离三台主机并在边界阻断 C2 IP
2. 在邮件网关中搜索原始钓鱼邮件的所有收件人并隔离该邮件
3. 在所有端点扫描 Emotet DLL 哈希和 Cobalt Strike 信标指标
4. 分析 Cobalt Strike 信标配置以提取水印、C2 配置文件和暂存 URL
5. 检查凭据收割（Mimikatz/LSASS 转储）和横向移动产物
6. 根除所有恶意软件产物并重置受影响用户的凭据

常见陷阱：

• 只关注 Emotet 而忽略 Cobalt Strike 第二阶段载荷
• 未能提取和阻断 Cobalt Strike Malleable C2 配置文件指标
• 未检查初始检测之外的额外持久化（Emotet 通常安装多个备份持久化机制）

输出格式

恶意软件事件响应报告
=================================
事件：        INC-2025-1547
恶意软件家族：Qakbot（变体：Obama265）
投递向量：    鱼叉式网络钓鱼附件（Invoice-Nov2025.docm）
首次检测：    2025-11-15T14:23:17Z
范围：        4 个端点确认受感染

感染时间线
14:18 UTC - 钓鱼邮件被 [email protected] 接收
14:19 UTC - 宏在 WINWORD.EXE 中执行
14:20 UTC - PowerShell 从暂存服务器下载 update.exe
14:21 UTC - update.exe 建立持久化（计划任务）
14:23 UTC - C2 信标向 185.220.101[.]42 发起连接
14:35 UTC - 通过窃取的凭据横向传播到 WKSTN-087
14:42 UTC - EDR 检测触发，SOC 收到告警

提取的 IOC
文件哈希：  [SHA-256 列表]
C2 域名：   [域名列表]
C2 IP：     [IP 列表]
文件路径：  [产物路径]

根除状态
[x] 所有恶意软件产物已从 4 台主机清除
[x] 持久化机制已删除
[x] C2 基础设施已阻断
[x] 受攻陷凭据已重置
[x] 邮件已从所有邮箱隔离

建议
1. 部署 Qakbot 变体检测的 YARA 规则
2. 阻断来自外部发件人文档中的宏执行
3. 在财务工作站实施应用程序白名单