jamal-soc21/malware-analysis--003-wannacry-

调查报告 — WannaCry 样本 摘要： 分析了一个恶意样本（SHA256：a6b9a6024ac8d1079a12a02e3a4691a9e00c1189a67d28175ec5976958114727），确认其属于 WannaCry 勒索软件家族。 该文件在 VirusTotal 上被标记为 Trojan/Ransomware（67/72 检出）。 关键行为（MITRE ATT&CK）： 执行：T1059 — 命令解释器 持久化：T1547 — 注册表自启动 权限提升：T1055 — 进程注入 防御规避：T1027 — 混淆 凭据访问：T1056 — 输入捕获 发现：T1012 注册表查询，T1016 网络配置 影响：T1529 — 系统关机/重启 命令与控制：T1105 — 工具传输 收集：T1056 输入捕获，T1113 屏幕捕获 结论： 该恶意软件表现出典型的勒索软件行为：加密文件、维持持久化，并与攻击者服务器通信。 所有观察到技术均已映射到 MITRE ATT&CK 框架以进行标准化分析

标签：Ask搜索, Cloudflare, DAST, DNS 反向解析, MITRE ATT&CK, SHA256, SSH蜜罐, VirusTotal, WannaCry, 云安全监控, 云资产清单, 勒索软件, 勒索软件家族, 协议分析, 后渗透, 命令与控制, 命令解释器, 威胁情报, 屏幕捕获, 工具传输, 开发者工具, 恶意软件分析, 数据包嗅探, 权限提升, 沙箱, 注册表自启动, 系统关机和重启, 网络信息收集, 网络安全, 网络配置, 进程注入, 逆向工程, 键盘记录, 隐私保护, 静态分析