siddhesh-001/WannaCry-Ransomware-Reverse-Engineering-Malware-Analysis

# WannaCry 勒索软件 — 逆向工程与恶意软件分析 ## ⚠️ 法律与安全免责声明 本仓库仅包含**文档、笔记、检测规则和发现**。 此处不包含或链接任何恶意软件样本、二进制文件或可执行文件。 所有分析均在完全隔离、无外部网络访问的实验室环境中进行。 本项目严格仅用于**教育和研究目的**。 ## 项目概述 本毕业设计项目记录了对一种 **WannaCry 勒索软件投放器变种**进行的全面端到端恶意软件分析——这是一个带有关闭开关后修改的样本，其开关域名（`iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com`）与 2017 年爆发的原始样本不同。 本分析遵循专业恶意软件分析师使用的方法论：静态分析形成威胁假设，动态分析确认并扩展发现，随后进行逆向工程、MITRE ATT&CK 映射和检测规则开发。 ## 样本信息 | 字段 | 值 | |---|---| | **样本名称** | WannaCry-Sample.exe（为分析而重命名） | | **SHA256** | `db349b97c37d22f5ea1d1841e3c89eb4057d304ebe6e892aab29e9cf9d3b1aaa` | | **文件大小** | 3.35 MB | | **文件类型** | PE32 executable (GUI) Intel 80386 | | **来源** | MalwareBazaar (abuse.ch) | | **开关域名** | 已修改 — `iuqerfsodp9ifjaposdfjhgosurijfaewrwergwff.com`（分析时未注册） | | **原始开关域名** | `www.iuqerfsodp9ifjaposdfjhposdfjhposdfjhpOSdfjoiEW.com`（已于 2017 年被 Sinkhole） | ## 仓库结构 ``` wannacry-re-capstone/ │ ├── README.md ← You are here ├── lab-setup/ │ └── lab-environment.md ← FlareVM setup, isolation config, snapshot strategy ├── static-analysis/ │ └── static-findings.md ← PE header, entropy, strings, imports, DIE results ├── dynamic-analysis/ │ └── dynamic-findings.md ← Execution timeline, ProcMon, FakeNet, Regshot ├── ghidra-analysis/ │ └── ghidra-findings.md ← WinMain flow, kill switch logic, victim ID generation ├── mitre-attack/ │ └── attck-mapping.md ← 14 techniques across 5 tactics ├── yara-rules/ │ └── wannacry_detection.yar ← Deployable YARA detection rule └── report/ └── full-analysis-report.md ← Complete findings write-up ``` ## 分析阶段 | 阶段 | 描述 | |---|---| | **1 — 实验室设置** | 隔离的 VMware + Windows 10 22H2 + FlareVM。仅主机网络。干净的基线快照。 | | **2 — 静态分析** | 在不执行的情况下检查二进制文件：DIE、PEStudio、CyberChef、Ghidra。识别出 40 多个恶意指标。 | | **3 — 动态分析** | 在隔离的虚拟机中实时执行。捕获了 902,600 个 ProcMon 事件，167,872 个 Regshot 注册表更改。 | | **4 — ATT&CK 与检测** | 映射了 14 种 MITRE ATT&CK 技术。开发了 YARA 规则和 6 条 SIEM 检测规则。 | ## 主要发现摘要 | 发现 | 详情 | |---|---| | **确认变种** | 已修改的开关域名 — 并非 2017 年的原始样本 | | **加壳载荷** | `.rsrc` 熵 = 7.99987 — 投放器内部隐藏了加密的 ZIP | | **ZIP 密码** | `WNcry@2ol7`（硬编码，通过静态字符串提取发现） | | **加密方式** | 每个文件使用 AES-128 → RSA-2048 加密 AES 密钥 → 存储在 `.WNCRY` 头部中 | | **持久化** | 服务 `mssecsvc2.0` + 注册表键 `HKLM\SOFTWARE\WOW6432Node\WanaCrypt0r\wd` | | **卷影副本删除** | 5 命令链：`vssadmin`、`wmic`、`bcdedit`、`wbadmin`、`icacls` | | **C2 匿名化** | 所有 C2 流量通过本地 Tor 代理（`taskhsvc.exe`）在 `localhost:9050` 上路由 | | **勒索赎金** | 300 美元比特币 — 钱包 `13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94` | | **Regshot 更改** | 执行后共 167,872 处注册表更改 | | **投放的文件** | 在所有可访问的目录中共投放了 94,986 个 `@Please_Read_Me@.txt` 和 `@WanaDecryptor@.exe` 副本 | ## 使用的工具 | 工具 | 阶段 | 用途 | |---|---|---| | Detect-It-Easy (DIE) | 静态 | 文件类型、加壳检测、各节熵值 | | PEStudio | 静态 | PE 头分析、标记的导入、指标 | | CyberChef | 静态 | 完整字符串提取 — 提取了 27,775 个字符串 | | Ghidra (NSA) | 静态 / 逆向工程 | 反汇编、反编译、函数级分析 | | Process Monitor | 动态 | 文件、注册表、进程事件 — 记录了 902,600 个事件 | | FakeNet-NG | 动态 | 网络模拟 — 捕获了 DNS 查询和 HTTP 请求 | | System Informer | 动态 | 实时进程树和子进程监控 | | Regshot | 动态 | 执行前/后注册表快照 — 检测到 167,872 处更改 | | ATT&CK Navigator | 映射 | MITRE ATT&CK 热力图可视化 | ## MITRE ATT&CK 覆盖范围 **5 项战术 · 14 项技术** `TA0002 Execution` · `TA0003 Persistence` · `TA0005 Defense Evasion` · `TA0011 Command & Control` · `TA0040 Impact` → 完整映射：[`mitre-attack/attck-mapping.md`](mitre-attack/attck-mapping.md) ## 检测资源 - **YARA 规则**：[`yara-rules/wannacry_detection.yar`](yara-rules/wannacry_detection.yar) - **6 条 SIEM 检测规则**：参见 [`report/full-analysis-report.md`](report/full-analysis-report.md) — 第 5 节 ## 关于本项目 本项目作为波士顿分析学院网络安全与道德黑客研究生文凭的毕业设计完成。其方法论反映了现实世界中 SOC 和威胁情报分析师的工作流程。 **展示的技能**：恶意软件分析 · 逆向工程 · 威胁情报 · IOC 开发 · YARA · MITRE ATT&CK · 事件响应 · 安全实验室设计 *在 [LinkedIn](https://linkedin.com/in/yourprofile) 上联系 | 在 [GitHub](https://github.com/yourusername) 上查看其他项目*

标签：C2通信, Cloudflare, DAST, EternalBlue, FLARE VM, Go语言工具, IDA Pro, IP 地址批量处理, MITRE ATT&CK, Mr. Robot, PE文件分析, WannaCry, 云安全监控, 云资产清单, 勒索软件, 威胁情报, 子域枚举, 安全沙箱, 库, 应急响应, 开发者工具, 恶意软件分析, 教育研究, 无线安全, 杀开关机制, 样本分析, 毕设项目, 网络安全, 网络安全审计, 逆向工程, 隐私保护, 静态分析