ahmxdniazi/wannacry-stix-threat-intelligence

# WannaCry 勒索软件 - STIX 2.1 网络威胁情报分析    ## 📋 项目概述 本仓库包含我对 **WannaCry 勒索软件攻击（2017）** 的 **结构化威胁情报表达式（STIX 2.1）** 课堂活动成果，该攻击归因于与朝鲜相关的国家级威胁行为体 **Lazarus Group（APT38）**。 我从公开来源提取威胁情报，构建完整的 **STIX 2.1 JSON 捆绑包**，使用 **MITRE ATT&CK** 映射战术、技术和程序（TTPs），并撰写详细报告。 ### 关键交付成果 - **完整分析报告（DOCX）**：包含详细的网络攻击概述、威胁行为体简介、恶意软件分析、TTPs、漏洞细节（CVE-2017-0144 - EternalBlue）以及 IoCs。 - **STIX 2.1 捆绑包**（`wannacry_stix_bundle.json`）：可机读的威胁情报，包括： - 威胁行为体（Lazarus Group） - 恶意软件（WannaCry 勒索软件 + 蠕虫） - 漏洞（EternalBlue） - 多个指标（文件哈希、杀毒开关域名、注册表键） - 攻击模式（T1190、T1486 等） - 行动方案（缓解措施，如 MS17-010 补丁） - 链接所有对象的关系 - 使用官方 **STIX 可视化工具** 的可视化指导 ## 🛠 使用的技术与标准 - **STIX 2.1**（OASIS 标准） - **MITRE ATT&CK 框架**（TTP 映射） - **CVE/NVD** 漏洞数据 - 网络杀伤链 - 用于威胁情报共享的 JSON 结构 ## 📂 仓库结构 ## 🔍 如何使用 STIX 捆绑包 1. 下载 `wannacry_stix_bundle.json`。 2. 打开 [STIX 可视化工具](https://oasis-open.github.io/cti-stix-visualization/)。 3. 上传 JSON 文件。 4. 探索展示威胁行为体、恶意软件、漏洞、指标和缓解措施之间关系的交互式图形。 该捆绑包完全兼容 STIX 2.1，并可导入 **MISP**、**OpenCTI** 或任何兼容 STIX 的平台。 ## 📊 STIX 图形可视化  中心节点是 WannaCry 恶意软件对象，它与 Lazarus Group（威胁行为体）、EternalBlue 漏洞、多个入侵指标以及缓解措施相连。 ## 🎯 学习成果 - 实践应用 **STIX 2.1** 结构化网络威胁情报（CTI）。 - 威胁行为体分析与归因。 - 恶意软件逆向工程基础与 IoC 提取。 - 将真实世界攻击映射到 **MITRE ATT&CK**。 - 理解勒索软件传播（EternalBlue 漏洞利用）与杀毒机制。 ## 📚 参考资料 - MITRE ATT&CK（WannaCry 与 Lazarus Group） - NIST NVD（CVE-2017-0144） - Microsoft MS17-010 公告 - Kaspersky、Symantec 和 US-CERT 报告 ## 👤 作者简介 **Muhammad Ahmad** 学号：25I-7705 FAST 国家大学，网络安全系 高级网络安全（ANS）课程 本项目展示了我将非结构化威胁报告转化为高质量的机器可读 **网络威胁情报（CTI）** 的能力，使用行业通用标准。 欢迎探索相关文件，使用 STIX 捆绑包进行学习/练习，或就 CTI、STIX 或勒索软件分析与我交流！ ⭐ 如果您觉得有用，请给该仓库加星！

标签：APT38, CISA项目, Cloudflare, Course of Action, CVE-2017-0144, Cyber Kill Chain, EternalBlue, Homebrew安装, IoC, JSON, Kill Chain, Lazarus Group, MITRE ATT&CK, Mutation, STIX, STIX 2.1, STIX可视化工具, T1190, T1486, WannaCry, 分析报告, 勒索软件, 可视化, 威胁情报, 威胁行为体, 开发者工具, 恶意软件, 情报共享, 指标, 朝鲜APT, 永恒蓝, 漏洞, 缓解措施, 网络威胁情报, 网络安全, 补丁, 课程作业, 隐私保护, 高级网络安全