WannaCry 勒索病毒：DFIR 与 SOC 监控实验室实战指南

实验室核心概念

本实验室将指导您如何免费搭建一个网络安全家庭实验室，涵盖在 Windows 端点上执行 WannaCry 勒索病毒并执行数字取证和安全监控的全过程！

实验室主要步骤：

• 第一步：设置 Elastic SIEM，在 Windows 10 虚拟机上配置 Sysmon

• 第二步：从 GitHub 下载 WannaCry 勒索病毒样本并执行，进行威胁狩猎

• 第三步：使用 Autopsy 和 Volatility 进行磁盘和内存取证分析

WannaCry 静态与动态分析

静态分析

在本实验室中，我们首先通过检查 WannaCry 样本（SHA-256：ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa）而不执行它来进行静态分析，使用 Hybrid Analysis 等工具识别危害指标（IoCs）。这种安全的初步评估帮助我们为 Elastic SIEM 制作 KQL 检测规则，但会错过运行时行为，如网络活动或文件加密，这些我们需要在实际操作中观察。

动态分析

接下来，我们在隔离的 Windows 10 虚拟机中执行 WannaCry 以观察实时行为，如文件加密和检查终止开关域（hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com）。这一风险较高的步骤在禁用互联网和共享文件夹后执行，验证我们的静态 IoCs 并捕获 Sysmon 日志以在 Elastic SIEM 中进行威胁狩猎，提供 WannaCry 影响的全面视图以完善我们的检测规则。

设置 Elastic SIEM

1. 访问 https://cloud.elastic.co/login 并注册 14 天免费试用

2. 选择 Elastic Cloud Serverless 作为部署类型

3. 在设置向导中选择 Security 作为使用案例

4. 验证您处于无服务器项目中

5. 添加 SIEM 数据：导航到 Integrations > Elastic Defend > Add Elastic Defend

6. 安装 Elastic Agent：在 Elastic Defend 设置中，点击 Add Agent，选择 Windows x86-64，复制提供的 PowerShell 命令

7. 在 Windows 虚拟机上以管理员身份运行 PowerShell 并粘贴命令安装代理

8. 点击 Agent Policies > 当前策略 > Add Integration

9. 搜索 Windows 并添加集成，确保 Sysmon 监控选项已开启

专业提示： 如果代理安装失败，请检查虚拟机的互联网连接并确保 PowerShell 以管理员身份运行。

安装 Sysmon

Sysmon 是一个系统监控工具，与经典的 Windows 事件日志不同，它为分析员提供了更好的进程启动、注册表修改、敏感系统文件访问、网络活动等的可见性，使其特别适用于检测可疑活动。

安装步骤：

1. 从 Microsoft Sysinternals 下载 Sysmon

2. 将 zip 文件解压缩到虚拟机上的文件夹

3. 从 SwiftOnSecurity 的 GitHub 下载 Sysmon 配置文件

4. 在提升的 PowerShell 中，导航到 Sysmon 文件夹并运行安装命令

创建虚拟机快照

创建快照是非常重要的步骤，它将使我们的虚拟机在执行后恢复到原始状态，遵循 NIST SP 800-61 事件响应流程。

下载工具和样本

• 从 GitHub 仓库下载勒索病毒：https://github.com/ytisf/theZoo

• 下载 Autopsy：https://www.autopsy.com/download/

• 安装 Volatility 进行内存分析

编写 WannaCry 检测规则

我们可以使用开源情报获取更多关于勒索病毒执行时创建进程的信息。这可以通过获取样本哈希并在 Hybrid Analysis 或 Any.run 等网站上检查来完成。

KQL 查询示例：

((process.name: "attrib.exe" and (process.command_line: "attrib +h .*" OR process.command_line: "attrib +h +s .*")) OR(process.name: "icacls.exe" and process.command_line: "icacls .* /grant Everyone:F.*") ORprocess.name: "taskdl.exe" OR(process.name: "cmd.exe" and process.command_line: ".*88831743893367.bat.*") OR(process.name: "cscript.exe" and process.command_line: ".*m.vbs.*") ORprocess.name: "WannaCry.exe.sample.exe")OR(file.path:"C:\\88831743893367.bat" ORfile.path:"C:\\@Please_Read_Me@.txt" ORfile.path:"C:\\@WanaDecryptor@.exe.lnk" ORfile.path:"C:\\f.wnry" ORfile.path:"C:\\m.vbs" OR file.path:"C:\\msg\\m_*.wnry")

执行勒索病毒

执行前注意事项：

• 关闭虚拟机上的互联网连接

• 禁用共享文件夹访问，防止感染传播到主机操作系统

• 暂时禁用 Windows Defender

执行后，您将看到带有".WNCRY"扩展名的文件，表示虚拟机已感染 WannaCry 勒索病毒。

威胁狩猎方法

威胁狩猎方法以威胁情报为起点，结合对系统基准的一般理解。在本案例中，我们将使用分析师日常工作中最常用的两个威胁情报源：MITRE ATT&CK 和 Cyber Kill Chain 框架。

Cyber Kill Chain 映射：

• 侦察：WannaCry 专门查找 Windows 操作系统中的 SMB 版本 1 漏洞

• 武器化：DoublePulsar 作为后门安装在受感染的计算机上

• 利用：勒索病毒利用已知漏洞，目标主要是面向公众的应用程序

• 交付：WannaCry 利用 SMB 服务器并在网络中横向移动以利用其他设备

• 安装：运行可执行文件安装恶意软件，加密用户系统上的所有文件

• 命令与控制：WannaCry 除了终止开关域外不建立 C2 连接

• 目标行动：攻击生成并存储加密密钥后，使用它加密所有类型的文件

结构化威胁狩猎步骤

1. 查找恶意软件持久性：主要涉及更改注册表键

2. 加密本地和网络文件：查找文件创建事件和".WNCRYT"扩展名

3. 投放勒索说明：查找以".txt"结尾的文件

4. 影子副本删除：检查是否创建了新进程

数字取证分析

Autopsy 分析

打开 Autopsy 管理员模式，创建新案例并添加原始磁盘文件位置。处理后，我们可以看到带有.WNCRY 扩展名的文件，表明文件已加密。

Volatility 内存分析

使用以下插件查找恶意进程：

• windows.pslist.PsList

• windows.psscan.PsScan

• windows.pstree.PsTree

• windows.psxview.PsXView

通过分析，我们可以发现与 WannaCry 勒索病毒相关的进程。

结论

这个实践实验室引导您构建网络安全家庭实验室来分析 WannaCry 勒索病毒，从设置 Elastic SIEM 和 Sysmon 到执行静态和动态分析。通过首先使用静态分析识别 IoCs 并制作 KQL 检测规则，然后动态执行 WannaCry 观察行为，您已获得威胁狩猎和 DFIR 的实践技能。Autopsy 和 Volatility 等工具进一步揭示了持久性机制和伪装进程，展示了攻击者如何规避防御。将这些技术应用于其他恶意软件样本，完善您的检测规则，并继续探索 MITRE ATT&CK 和 Cyber Kill Chain 以提升您的网络安全专业知识！更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享