WannaCry勒索病毒数字取证与安全监控实验室实战指南

本文详细介绍了如何构建网络安全实验室分析WannaCry勒索病毒,涵盖Elastic SIEM配置、Sysmon部署、静态动态分析技术,以及使用Autopsy和Volatility进行磁盘内存取证的全流程实战演练。

WannaCry勒索病毒:DFIR与SOC监控实验室实战指南

实验室核心概念

本实验室将指导您如何免费搭建网络安全家庭实验室,涵盖在Windows终端上执行WannaCry勒索病毒并执行数字取证和安全监控的全过程。

实验室主要步骤:

  1. 设置Elastic SIEM
  2. 在Windows 10虚拟机上配置Sysmon
  3. 从GitHub下载WannaCry勒索病毒样本并执行
  4. 进行威胁狩猎
  5. 使用Autopsy和Volatility进行磁盘和内存取证

WannaCry的静态与动态分析

静态分析

在本实验室中,我们将首先通过检查WannaCry样本(SHA-256:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa)进行静态分析,使用Hybrid Analysis等工具识别入侵指标(IoCs)。这种安全的初步评估帮助我们为Elastic SIEM制定KQL检测规则,但会错过运行时行为,如网络活动或文件加密。

动态分析

接下来,我们在隔离的Windows 10虚拟机中执行WannaCry以观察实时行为,如文件加密和检查杀死开关域(hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。这个风险较高的步骤在禁用互联网和共享文件夹后执行,验证我们的静态IoCs并捕获Sysmon日志以在Elastic SIEM中进行威胁狩猎。

设置Elastic SIEM

  1. 访问https://cloud.elastic.co/login并注册14天免费试用
  2. 选择Elastic Cloud Serverless作为部署类型
  3. 在设置向导中选择Security作为使用案例
  4. 验证是否在无服务器项目中
  5. 添加SIEM数据:导航到Integrations > Elastic Defend > Add Elastic Defend
  6. 安装Elastic Agent:在Elastic Defend设置中,点击Add Agent,选择Windows x86-64,复制提供的PowerShell命令
  7. 在Windows虚拟机上以管理员身份运行PowerShell并粘贴命令安装代理
  8. 点击Agent Policies > 当前策略 > add integration
  9. 搜索Windows并添加集成,确保Sysmon监控选项已开启

专业提示: 如果代理安装失败,请检查虚拟机的互联网连接并确保PowerShell以管理员身份运行。

安装Sysmon

Sysmon是一个系统监控工具,与经典的Windows事件日志不同,它为分析师提供了更好的进程启动、注册表修改、敏感系统文件访问、网络活动等可见性。

安装步骤:

  1. 从Microsoft Sysinternals下载Sysmon
  2. 将zip文件解压缩到虚拟机上的文件夹
  3. 从SwiftOnSecurity的GitHub下载Sysmon配置文件
  4. 在提升的PowerShell中,导航到Sysmon文件夹并运行安装命令

为虚拟机创建快照

创建快照是非常重要的步骤,根据NIST SP 800-61事件响应流程,它将在执行后将我们的虚拟机恢复到原始状态。

下载勒索病毒

从GitHub仓库下载勒索病毒:https://github.com/ytisf/theZoo

下载Autopsy和Volatility

注意: 这两个工具需要安装在主机系统上。

Autopsy下载链接: https://www.autopsy.com/download/

Volatility安装步骤:

  1. 从https://www.python.org/downloads/下载最新版本的Python
  2. 下载Volatility的wheel包
  3. 使用pip安装volatility3
  4. 通过运行vol -h验证安装

编写检测规则检测WannaCry勒索病毒

我们可以使用开源情报获取更多关于勒索病毒执行时创建的进程信息。通过将样本哈希提交到Hybrid Analysis或Any.run等网站进行分析。

KQL检测规则示例:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

((process.name: "attrib.exe" and (process.command_line: "attrib +h .*" OR process.command_line: "attrib +h +s .*")) OR
(process.name: "icacls.exe" and process.command_line: "icacls .* /grant Everyone:F.*") OR
process.name: "taskdl.exe" OR
(process.name: "cmd.exe" and process.command_line: ".*88831743893367.bat.*") OR
(process.name: "cscript.exe" and process.command_line: ".*m.vbs.*") OR
process.name: "WannaCry.exe.sample.exe")
OR
(file.path:"C:\\88831743893367.bat" OR
file.path:"C:\\@Please_Read_Me@.txt" OR
file.path:"C:\\@WanaDecryptor@.exe.lnk" OR
file.path:"C:\\f.wnry" OR
file.path:"C:\\m.vbs" OR file.path:"C:\\msg\\m_*.wnry")

执行勒索病毒

执行前的注意事项:

  • 关闭虚拟机的互联网连接
  • 禁用共享文件夹访问,防止感染传播到主机操作系统
  • 暂时禁用Windows Defender

执行步骤:

  1. 双击theZoo文件夹中的可执行文件
  2. 等待一段时间,您将看到感染界面
  3. 文件扩展名变为".WNCRY"表示虚拟机已感染

将日志传输回ELK SIEM

执行后,在网络设置中开启NAT模式,确保日志通过代理转发到SIEM。

威胁狩猎

威胁狩猎方法以威胁情报为起点,结合系统基线理解。我们使用两个最常用的威胁情报源:MITRE ATT&CK和Cyber Kill Chain框架。

威胁狩猎步骤:

  1. 查找恶意软件持久性:涉及注册表键更改(Sysmon id 13)
  2. 加密本地和网络文件:查找Sysmon事件id 11和.WNCRYT扩展名文件
  3. 投放勒索说明:查找以".txt"结尾的文件
  4. 影子副本删除:检查vssadmin.exe进程

恢复虚拟机状态

关闭虚拟机并使用之前创建的快照将其恢复到攻击前的原始状态。

从虚拟机克隆虚拟硬盘

使用VBoxManage命令克隆虚拟硬盘为RAW格式,确保有55-65 GB的可用空间。

获取虚拟机内存转储进行分析

使用VBoxManage debugvm命令获取内存转储,存储需求约为5 GB。

Autopsy分析

以管理员模式打开Autopsy,创建新案件并填写案件信息。添加原始磁盘文件位置,选择要分析的功能模块。

分析结果:

  • 发现.WNCRY扩展名文件,表明文件已加密
  • 在图片部分观察到勒索图片
  • 评分部分显示970个可疑项目,表明磁盘镜像100%感染勒索病毒
  • 在注册表中发现持久性机制证据

使用Volatility进行内存分析

使用四个有用的插件查找恶意进程:

  • windows.pslist.PsList
  • windows.psscan.PsScan
  • windows.pstree.PsTree
  • windows.psxview.PsXView

分析发现:

  • 进程ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa.exe(PID 11444)
  • 进程@WannaDecryptor(PID 10160)
  • 通过Google搜索确认这些进程与WannaCry勒索病毒相关

结论

这个实践实验室指导您构建网络安全家庭实验室来分析WannaCry勒索病毒,从设置Elastic SIEM和Sysmon到执行静态和动态分析。通过学习识别IoCs、制作KQL检测规则、观察.WNCRY文件加密行为,您获得了威胁狩猎和DFIR的实践技能。Autopsy和Volatility等工具进一步揭示了持久性机制和伪装进程,展示了攻击者如何规避防御。将这些技术应用到其他恶意软件样本,完善检测规则,继续探索MITRE ATT&CK和Cyber Kill Chain以提升网络安全专业技能!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次