hkb18/conti-ransomware-analysis

# Conti 勒索软件分析 ## 概述 本仓库记录了对与 Conti 家族相关的勒索软件样本的分析，基于赎金票据内容和外部检测结果。该项目的目的是检查可执行文件的结构，观察其执行时的行为，并识别能够支持检测和调查的指标。 分析结合了静态检查与在隔离实验室环境中受控的动态执行。 ## 目标 - 验证可执行文件的结构和特征 - 识别导入的函数和嵌入的字符串 - 在受控环境中观察运行时行为 - 监控文件系统、注册表和进程活动 - 识别执行过程中的网络活动 - 提取妥协指标（IOCs） - 将观察到的行为映射到 MITRE ATT&CK 框架 - 基于观察到的活动推导防御性见解 ## 实验室环境 - 主机系统：Windows 11 - 分析环境：Windows 10 FLARE 虚拟机 - 执行：受控且隔离的虚拟机 ### 使用的工具 - PEStudio - HxD - Strings.exe - 进程监视器（Procmon） - Regshot - Wireshark - VirusTotal ## 分析流程 1. 对可执行文件进行静态检查（PE 结构、导入、字符串） 2. 在隔离环境中进行受控执行 3. 使用 Procmon 和 Regshot 监控系统活动 4. 使用 Wireshark 观察网络流量 5. 提取指标和工件 6. 将观察到的行为映射到 MITRE ATT&CK 7. 推导防御性考虑 ## 关键发现 - 该样本是一个有效的 Windows PE 可执行文件 - 静态分析识别出文件系统和系统级 API 的使用 - 字符串分析揭示了一个自定义文件扩展名 `.TIYSV` - 动态分析显示执行过程中与文件系统和注册表的交互 - 观察到基于 TLS 的网络流量 - 生成了一个赎金票据（`readme.txt`） - 外部检测结果将该样本分类为恶意软件 ## 仓库结构 ``` conti-ransomware-analysis/ │ ├── README.md │ ├── docs/ │ ├── 01_project_overview.md │ ├── 02_lab_environment.md │ ├── 03_static_analysis.md │ ├── 04_dynamic_analysis.md │ ├── 05_iocs.md │ ├── 06_mitre_attack_mapping.md │ ├── 07_defensive_insights.md │ └── 08_limitations.md │ ├── evidence/ │ ├── static/ │ ├── dynamic/ │ ├── impact/ │ ├── mitre/ │ └── supporting_docs/ ``` ## 证据 所有支持性工件均可通过 `evidence/` 目录获取： - **static/** – PE 分析、导入、字符串、VirusTotal 结果 - **dynamic/** – Procmon 和 Wireshark 观察 - **impact/** – 执行期间生成的赎金票据 - **mitre/** – ATT&CK 映射可视化 - **supporting_docs/** – 额外分析输出（例如 Regshot、字符串输出） ## 限制 本分析仅限于受控环境中可观察到的行为，不包括： - 二进制文件的逆向工程或反汇编 - 内存取证 - 完整的网络流量重建或载荷分析 - 多系统或企业级行为分析 ## 免责声明 本项目仅用于教育和防御性网络安全目的。样本在隔离环境中进行分析，以防止意外影响。

标签：Ask搜索, Cloudflare, Conti, DAST, FLARE VM, HxD, IOC提取, IP 地址批量处理, MITRE ATT&CK, PEStudio, PE 加载器, PE结构分析, Procmon, Regshot, Strings.exe, TLS流量, VirusTotal, Wireshark, 云安全监控, 勒索软件, 句柄查看, 后渗透, 字符串分析, 导入函数分析, 恶意软件分析, 数据包嗅探, 文件系统监控, 注册表监控, 网络流量分析, 赎金笔记, 逆向工具, 防御映射, 隔离实验室, 静态分析