NaimaFarhi/Malware-Analysis-Report-Annabelle-Ransomware

# 🦠 恶意软件分析报告 — Annabelle 勒索软件 **日期 :** 2026-04-04 **样本 :** Annabelle.exe **分类 :** 勒索软件 ## 1. 执行摘要 Annabelle 是一种破坏性勒索软件，最早于 2018 年初被发现。与仅专注于经济利益的传统勒索软件不同，Annabelle 将文件加密与多种破坏性和持久化机制结合在一起，包括 MBR 覆盖、防火墙禁用和沙箱规避。本报告涵盖了对该样本的静态和动态分析。 ## 2. 样本标识 | 字段 | 值 | |-------|-------| | 文件名 | Annabelle.exe | | MD5 | 0f743287c9911b4b1c726c7c7edcaf7d | | SHA256 | 716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac | | 文件类型 | PE32 executable (Windows) | | 文件大小 | 16,712,192 字节 | | 编译日期 | 2018-02-18 17:54:24 UTC | | AV 检出率 | 60/71 (VirusTotal) | ## 3. 静态分析 ### 3.1 PE 结构 | 节区 | 熵值 | 解释 | |---------|---------|----------------| | .text | 7.99 / 8.0 | 加壳/加密代码 | | .rsrc | 3.97 / 8.0 | 正常资源 | ### 3.2 加壳 该样本使用 **自定义加壳工具**（非 UPX）加壳。 证据： - 节区 `.text` 熵值为 7.99/8.0（接近最大值） - 无可见导入表（缺少 DIRECTORY_ENTRY_IMPORT） - 仅存在两个 PE 节区 - 字符串提取未产生有意义输出 ### 3.3 字符串分析 由于加壳，字符串提取结果极少： - `!This program cannot be run in DOS mode.` — 标准 PE 头字符串 - `.text`, `.rsrc` — 仅节区名称 **结论：** 静态分析受到自定义加壳工具的严重限制。需要动态分析来观察真实行为。 ## 4. 动态分析 *分析通过 Any.run 沙箱（Windows 10 环境）执行* ### 4.1 网络活动 | 类型 | 目标 | 详情 | |------|-------------|---------| | HTTP POST | login.live.com/RST2.srf | 通过 Microsoft 进行连接检查 | | HTTP POST | login.live.com/ppsecure/device | 400 Bad Request | | HTTP GET | ocsp.digicert.com | SSL 证书验证 | | DNS | settings-win.data.microsoft.com | Windows 遥测 | | DNS | client.wns.windows.com | Windows Notification Service | | 外部 IP | myip.dnsom... | 受害者 IP 地址获取 | ### 4.2 可疑行为 - **svchost.exe 注入** — 恶意软件注入合法的 Windows 进程以隐藏活动 - **外部 IP 获取** — 识别受害者的公网 IP 地址 - **未知流量** — 通过 svchost.exe (PID 8000) 进行的未分类网络活动 ### 4.3 MITRE ATT&CK 映射 | 战术 | 技术 | 描述 | |--------|-----------|-------------| | 执行 | System Services | 通过 Windows 服务执行 | | 持久化 | Boot/Logon Autostart (T1547) | 注册表 Run 键 + 启动文件夹 | | 持久化 | Modify Registry (T1112) | 通过注册表在重启后存活 | | 持久化 | Winlogon Helper DLL | 挂钩 Windows 登录过程 | | 权限提升 | Image File Execution Options | 劫持进程执行 | | 防御规避 | Virtualization/Sandbox Evasion (T1497) | 检测分析环境 | | 防御规避 | Impair Defenses (T1562) | 禁用安全工具 + 防火墙 | | 发现 | Query Registry | 枚举系统信息 | | 发现 | System Information Discovery | 收集受害者环境信息 | | 影响 | Data Encrypted for Impact (T1486) | 加密受害者文件 | | 影响 | Inhibit System Recovery (T1490) | 阻止恢复和备份 | | 影响 | System Shutdown/Reboot (T1529) | 强制系统重启 | ## 5. 关键发现 1. **自定义加壳** 向静态分析工具隐藏了恶意软件的真实代码 2. **进程注入** 到 svchost.exe 使恶意软件能够混入合法的 Windows 活动中 3. **沙箱规避** 意味着恶意软件在真实受害者环境中的行为可能有所不同 4. **多重持久化机制** 确保在重启后存活 5. **破坏性影响** 超出加密范围 —— 目标包括系统恢复和稳定性 ## 6. 入侵指标 | 类型 | 值 | |------|-------| | MD5 | 0f743287c9911b4b1c726c7c7edcaf7d | | SHA256 | 716335ba5cd1e7186c40295b199190e2b6655e48f1c1cbe12139ba67faa5e1ac | | 域名 | login.live.com (被滥用) | | 域名 | myip.dnsom (IP 侦察) | | 进程 | svchost.exe (被注入) | ## 7. 使用的工具 | 工具 | 用途 | |------|---------| | REMnux | 分析环境 | | pefile (Python) | PE 结构分析 | | strings | 字符串提取 | | VirusTotal | AV 检测 + 元数据 | | Any.run | 动态沙箱分析 | *本分析是在隔离环境中出于教育目的进行的。*

标签：Annabelle, Any.run, Ask搜索, DAST, DeepSeek, DNS 反向解析, MBR覆盖, MD5, PE32可执行文件, SHA256, VirusTotal, Windows恶意软件, 云安全监控, 加壳, 勒索软件, 合规性检查, 威胁情报, 开发者工具, 恶意软件分析, 文件加密, 样本识别, 沙箱逃逸, 熵值分析, 破坏性软件, 网络安全, 网络安全审计, 网络行为, 自定义壳, 逆向工具, 防火墙禁用, 隐私保护, 静态分析