WannaCry勒索病毒:DFIR与SOC监控实验室实战指南
实验室核心概念
本实验室将指导您如何免费搭建一个网络安全家庭实验室,涵盖在Windows端点上执行WannaCry勒索病毒并执行数字取证和安全监控的全过程!
实验室主要步骤:
- 第一步:设置Elastic SIEM,在Windows 10虚拟机上配置Sysmon
- 第二步:从GitHub下载WannaCry勒索病毒样本并执行,进行威胁狩猎
- 第三步:使用Autopsy和Volatility进行磁盘和内存取证分析
WannaCry静态与动态分析
静态分析
在本实验室中,我们首先通过检查WannaCry样本(SHA-256:ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa)而不执行它来进行静态分析,使用Hybrid Analysis等工具识别危害指标(IoCs)。这种安全的初步评估帮助我们为Elastic SIEM制作KQL检测规则,但会错过运行时行为,如网络活动或文件加密,这些我们需要在实际操作中观察。
动态分析
接下来,我们在隔离的Windows 10虚拟机中执行WannaCry以观察实时行为,如文件加密和检查终止开关域(hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com)。这一风险较高的步骤在禁用互联网和共享文件夹后执行,验证我们的静态IoCs并捕获Sysmon日志以在Elastic SIEM中进行威胁狩猎,提供WannaCry影响的全面视图以完善我们的检测规则。
设置Elastic SIEM
- 访问 https://cloud.elastic.co/login 并注册14天免费试用
- 选择Elastic Cloud Serverless作为部署类型
- 在设置向导中选择Security作为使用案例
- 验证您处于无服务器项目中
- 添加SIEM数据:导航到Integrations > Elastic Defend > Add Elastic Defend
- 安装Elastic Agent:在Elastic Defend设置中,点击Add Agent,选择Windows x86-64,复制提供的PowerShell命令
- 在Windows虚拟机上以管理员身份运行PowerShell并粘贴命令安装代理
- 点击Agent Policies > 当前策略 > Add Integration
- 搜索Windows并添加集成,确保Sysmon监控选项已开启
专业提示: 如果代理安装失败,请检查虚拟机的互联网连接并确保PowerShell以管理员身份运行。
安装Sysmon
Sysmon是一个系统监控工具,与经典的Windows事件日志不同,它为分析员提供了更好的进程启动、注册表修改、敏感系统文件访问、网络活动等的可见性,使其特别适用于检测可疑活动。
安装步骤:
- 从Microsoft Sysinternals下载Sysmon
- 将zip文件解压缩到虚拟机上的文件夹
- 从SwiftOnSecurity的GitHub下载Sysmon配置文件
- 在提升的PowerShell中,导航到Sysmon文件夹并运行安装命令
创建虚拟机快照
创建快照是非常重要的步骤,它将使我们的虚拟机在执行后恢复到原始状态,遵循NIST SP 800-61事件响应流程。
下载工具和样本
- 从GitHub仓库下载勒索病毒:https://github.com/ytisf/theZoo
- 下载Autopsy:https://www.autopsy.com/download/
- 安装Volatility进行内存分析
编写WannaCry检测规则
我们可以使用开源情报获取更多关于勒索病毒执行时创建进程的信息。这可以通过获取样本哈希并在Hybrid Analysis或Any.run等网站上检查来完成。
KQL查询示例:
((process.name: "attrib.exe" and (process.command_line: "attrib +h .*" OR process.command_line: "attrib +h +s .*")) OR
(process.name: "icacls.exe" and process.command_line: "icacls .* /grant Everyone:F.*") OR
process.name: "taskdl.exe" OR
(process.name: "cmd.exe" and process.command_line: ".*88831743893367.bat.*") OR
(process.name: "cscript.exe" and process.command_line: ".*m.vbs.*") OR
process.name: "WannaCry.exe.sample.exe")
OR
(file.path:"C:\\88831743893367.bat" OR
file.path:"C:\\@Please_Read_Me@.txt" OR
file.path:"C:\\@WanaDecryptor@.exe.lnk" OR
file.path:"C:\\f.wnry" OR
file.path:"C:\\m.vbs" OR file.path:"C:\\msg\\m_*.wnry")
执行勒索病毒
执行前注意事项:
- 关闭虚拟机上的互联网连接
- 禁用共享文件夹访问,防止感染传播到主机操作系统
- 暂时禁用Windows Defender
执行后,您将看到带有".WNCRY"扩展名的文件,表示虚拟机已感染WannaCry勒索病毒。
威胁狩猎方法
威胁狩猎方法以威胁情报为起点,结合对系统基准的一般理解。在本案例中,我们将使用分析师日常工作中最常用的两个威胁情报源:MITRE ATT&CK和Cyber Kill Chain框架。
Cyber Kill Chain映射:
- 侦察:WannaCry专门查找Windows操作系统中的SMB版本1漏洞
- 武器化:DoublePulsar作为后门安装在受感染的计算机上
- 利用:勒索病毒利用已知漏洞,目标主要是面向公众的应用程序
- 交付:WannaCry利用SMB服务器并在网络中横向移动以利用其他设备
- 安装:运行可执行文件安装恶意软件,加密用户系统上的所有文件
- 命令与控制:WannaCry除了终止开关域外不建立C2连接
- 目标行动:攻击生成并存储加密密钥后,使用它加密所有类型的文件
结构化威胁狩猎步骤
- 查找恶意软件持久性:主要涉及更改注册表键
- 加密本地和网络文件:查找文件创建事件和".WNCRYT"扩展名
- 投放勒索说明:查找以".txt"结尾的文件
- 影子副本删除:检查是否创建了新进程
数字取证分析
Autopsy分析
打开Autopsy管理员模式,创建新案例并添加原始磁盘文件位置。处理后,我们可以看到带有.WNCRY扩展名的文件,表明文件已加密。
Volatility内存分析
使用以下插件查找恶意进程:
- windows.pslist.PsList
- windows.psscan.PsScan
- windows.pstree.PsTree
- windows.psxview.PsXView
通过分析,我们可以发现与WannaCry勒索病毒相关的进程。
结论
这个实践实验室引导您构建网络安全家庭实验室来分析WannaCry勒索病毒,从设置Elastic SIEM和Sysmon到执行静态和动态分析。通过首先使用静态分析识别IoCs并制作KQL检测规则,然后动态执行WannaCry观察行为,您已获得威胁狩猎和DFIR的实践技能。Autopsy和Volatility等工具进一步揭示了持久性机制和伪装进程,展示了攻击者如何规避防御。将这些技术应用于其他恶意软件样本,完善您的检测规则,并继续探索MITRE ATT&CK和Cyber Kill Chain以提升您的网络安全专业知识!
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码