leonaminiel/Malware-Forensics

# Windows 10 恶意软件取证调查 ## 概述 本次调查模拟了一个真实世界的事件响应工作流程，应用于一台已知感染恶意软件的 Windows 10 虚拟机。目标是恢复、保存并分析来自易失性（内存）和非易失性（硬盘）存储的取证证据，同时不改变原始证据状态。 完整的调查流程涵盖： - 使用 **Magnet RAM Capture** 进行**内存获取**，生成原始 `.raw` 内存转储文件。 - 通过 VMware 快照/克隆进行**磁盘镜像**，保存其修复前的 `.vmdk` 状态。 - 使用 **Volatility Workbench** 进行**内存分析**，以发现活动的恶意进程。 - 使用 **Autopsy** 进行**磁盘分析**，以恢复和分类可疑的可执行文件。 - 通过 **VirusTotal** 多引擎扫描进行**哈希验证**，以对每个样本进行分类。 在键盘记录器、远程访问工具（RAT）、后门木马、窃密程序、注入器和风险软件中，**确认了 10 个恶意软件样本**。 ## 环境 | 组件 | 详情 | |------|------| | 目标机器 | Windows 10 虚拟机（已感染） | | 虚拟化平台 | VMware Workstation Pro | | 内存获取 | Magnet RAM Capture → `.raw` 转储 | | 磁盘获取 | VMware 克隆 → `.vmdk` 镜像 | | 内存分析 | Volatility Workbench v3 | | 磁盘分析 | Autopsy 取证浏览器 | | 哈希验证 | VirusTotal（70+ 防病毒引擎） | ## 目录 - [获取](#acquisition) - [内存获取](#ram-acquisition) - [硬盘获取](#hdd-acquisition) - [分析](#analysis) - [内存分析 — Volatility](#ram-analysis--volatility) - [硬盘分析 — Autopsy](#hdd-analysis--autopsy) - [已确认的恶意软件发现](#confirmed-malware-findings) - [修复建议](#remediation-recommendations) - [关键要点](#key-takeaways) ## 获取 ### 内存获取 在虚拟机保持活动状态的同时，使用 **Magnet RAM Capture (MRC)** 获取易失性内存——这保存了活动进程状态、网络连接和内存中的工件，这些在关机后会丢失。 **步骤：** 1. 启动 VMware，并将包含 `MRC.exe` 的 USB 驱动器连接到客户虚拟机。 2. 将 `MRC.exe` 复制到虚拟机的 `C:\` 驱动器。 3. 以管理员身份启动命令提示符并执行 MRC： ``` volatility -f memory.raw windows.pstree ``` 4. 选择 USB 驱动器作为输出目标，并分配一个适合案例的文件名。 5. 开始捕获——MRC 将物理内存的全部内容流式传输到一个 `.raw` 文件中。 6. 捕获完成后安全弹出客户机中的 USB；该驱动器现在是证据载体。 ### 硬盘获取 使用 **VMware 的快照和克隆** 功能以非破坏性方式获取虚拟磁盘，该功能冻结虚拟机状态并生成独立的 `.vmdk` 副本，而无需关闭客户机。 **步骤：** 1. 在 VMware 中，创建快照以锁定当前磁盘状态。 2. 克隆虚拟机以生成独立的 `.vmdk` 镜像。 3. 将磁盘镜像提取到已知的分析路径： ``` User downloads KMSAuto cracking tool │ ▼ KMSAuto Net.exe installed → KMSAutoS\ persistence directory created │ ├── TunMirror2.exe (KMS emulator / RiskWare) ├── KMSSS.exe (Backdoor service) └── TunMirror2.exe → system access granted to attacker │ ▼ ProKAward\ malware cluster deployed (via RAT or dropper) │ ├── rsasws.exe (PID 1540) — persistent loader service │ └── wap.exe (PID 4996) — C2 / Award Keylogger controller │ └── UW.exe (PID 5164) — self-deleting stage payload ├── filedat.dat — Graftor keylogger payload └── wap.exe — disk-resident keylogger binary Browser cache (Edge) — secondary delivery vector ├── zw[1].exe — LokiBot credential stealer └── loder[1].exe — MSIL dropper Downloads folder — user-initiated installs ├── updsto.exe — RAT └── win10drivetest(Demo).exe — Graftor / driver masquerade ``` 4. 在 **Autopsy** 中，创建一个新案例，并将 `.vmdk` 作为 *磁盘镜像或虚拟机文件* 数据源加载。 5. 允许摄取模块完成——标记可疑文件、已删除项目和浏览器工件。 ## 分析 ### 内存分析 — Volatility 将 `.raw` 内存转储加载到 **Volatility Workbench v3** 中，进行进程树枚举和行为分析。 **加载镜像：** - 打开 Volatility Workbench → *浏览镜像* → 选择 `.raw` 文件 - 将平台设置为 **Windows** - 通过 *获取进程列表* 确认加载成功 **进程树枚举：** #### 识别出的可疑进程 **`rsasws.exe`** — PID 1540 - 路径：`C:\Program Files\ProKAward\rsasws.exe` - 父进程：`services.exe` (PID 612) - 分析：名称模仿 Windows 系统组件（例如 `lsass.exe`）。位于未知供应商目录（`ProKAward`）中。生成下游有效载荷链，表明其作为主要持久化和加载器机制的功能。 **`wap.exe`** — PID 4996 - 路径：`C:\Program Files\ProKAward\wap.exe` - 父进程：`rsasws.exe` (PID 1540) - 分析：恶意软件链的第二阶段。可能用作加载器或 C2 控制器。与 `rsasws.exe` 位于同一非标准目录中，证实了协调的多阶段有效载荷。 **`UW.exe`** — PID 5164 - 路径：`C:\Program Files\ProKAward\update\UW.exe` - 父进程：`wap.exe` (PID 4996) - 分析：伪装在 `update\` 子目录下。进程在执行后不久终止——这与有效载荷投放器或自删除阶段一致，是避免实时内存检测的常见规避技术。 **`Microsoft Edge.exe`** — PID 7284 - 路径：`C:\Windows\Temp\Msoft Edge\Microsoft Edge.exe` - 父进程：`explorer.exe` (PID 2896) - 分析：**进程伪装。** 合法的 Edge 位于 `C:\Program Files (x86)\Microsoft\Edge\Application`。从 `C:\Windows\Temp` 以欺骗性相似的名称运行，是浏览器仿冒攻击的典型指标，可能用于凭据窃取或脚本注入。 ### 硬盘分析 — Autopsy Autopsy 解析了 `.vmdk` 镜像，并在多个目录中标记了可疑的可执行文件。提取了每个文件的 SHA-256 哈希值，并提交给 **VirusTotal** 进行跨引擎验证。 ## 已确认的恶意软件发现 ### "translate", so I need to provide a Chinese version. | 字段 | 值 | |------|-----| | 路径 | `ProgramData\KMSAutoS\bin\TunMirror2.exe` | | MD5 | `3b33e3ab6e91806df4cae19405ab8846` | | SHA-256 | `d9cd47831faba4053225dac181709fd7ab9d066c3de6f541968fffeeee4a9bf9` | | 分类 | `HackTool.AutoKMS` | KMSAuto 激活工具包的一部分。模拟 KMS 许可服务器以非法激活 Windows 和 Office。被分类为 RiskWare——打开权限提升途径，并经常与次级恶意软件投放器捆绑。 ### 2. `KMSAuto Net.exe` — 木马 / 后门 / 窃密程序 / 注入器 / 间谍软件 | 字段 | 值 | |------|-----| | 路径 | `ProgramData\KMSAutoS\KMSAuto Net.exe` | | MD5 | `d02b35945c18e89dc3bb43bc7f6153be` | | SHA-256 | `0b05ea08028f239b11f8c30249b0f0aa86966ee4974d03b01bae2ee88befbbeb` | | 分类 | MSIL 恶意软件 — 木马、后门、窃密程序、注入器、间谍软件 | 多功能 MSIL 威胁。启用未经授权的远程访问，窃取凭据和敏感数据，将恶意代码注入合法进程，并对用户活动保持持久的隐蔽监控。 ### 3. `KMSCleaner.exe` — 木马 / 风险软件 | 字段 | 值 | |------|-----| | 路径 | `Users\maryam.var\Downloads\KMSAuto.Net.2016.v1.5.0\KMSCleaner.exe` | | MD5 | `13ea767a7ba607744ebea7409b9f8649` | | SHA-256 | `a6e2cdc0e9426d50bd72d866bfc80e0fba941efb3ae6d1c564d409f57d1eb117` | | 分类 | 风险软件 / 木马 | KMSAuto 套件的伴随程序。其出现在用户下载目录中证实了感染途径——用户下载了一个嵌入多有效载荷恶意软件捆绑包的破解激活工具。 ### 4. `KMSSS.exe` — 后门 / 木马 | 字段 | 值 | |------|-----| | 路径 | `ProgramData\KMSAutoS\bin\KMSSS.exe` | | MD5 | `add80e5d9fad482705c3807bacfe1993` | | SHA-256 | `bb3830b14df80838fb201c611abf0c1f3714c6b8b103ed084eafc170036631be` | | 分类 | MSIL 后门 / 木马 | 从 `KMSAutoS` 持久化目录运行的服务层二进制文件。提供攻击者控制的后门通道，用于远程命令执行和长期系统访问。 ### 5. `zw[1].exe` — LokiBot（凭据窃取器 / 后门木马） | 字段 | 值 | |------|-----| | 路径 | `Users\maryam.var\AppData\Local\...\MicrosoftEdge\Cache\26N1QDKN\zw[1].exe` | | MD5 | `ce6ba3df1d57ade7830c5315d77c9311` | | SHA-256 | `ce8bbc09521bc9bd7a358e4fbbe370962e22b91a78c8d895716ef98a1daaaf77` | | 分类 | **LokiBot** | 分布最广泛的窃密程序家族之一。LokiBot 针对浏览器存储的密码、FTP 凭据、电子邮件客户端、加密货币钱包和应用程序级秘密。通过浏览器缓存路径传递，表明存在路过式或恶意广告下载向量。 ### 6. `loder[1].exe` — MSIL 投放器 / 木马 | 字段 | 值 | |------|-----| | 路径 | `Users\maryam.var\AppData\Local\...\MicrosoftEdge\Cache\4FNI4CT2\loder[1].exe` | | MD5 | `0ae466fc76575fbc2d42cdba9788be1e` | | SHA-256 | `3128ef59736fdcd604698ae3d5869909e54ec1b98d8759360512855174ef8927` | | 分类 | MSIL 木马 / 投放器 | 从 Edge 浏览器缓存恢复的投放器类威胁。负责获取和部署次级有效载荷，有效地作为后续感染阶段的传递机制。 ### 7. `updsto.exe` — 远程访问木马（RAT） | 字段 | 值 | |------|-----| | 路径 | `Users\maryam.var\Downloads\updsto.exe` | | MD5 | `761cfff25ef1066412cf7403a5ae22ab` | | SHA-256 | `23784235625b527ddc2cc8a3895b53660479cad06c0645de2c79da47ecca6b03` | | 分类 | RAT（远程访问木马） | 功能齐全的 RAT，为攻击者提供远程 shell 访问、文件系统控制和数据窃取能力。其位于用户下载文件夹中的位置与 KMSAuto 捆绑包的初始感染向量一致。 ### 8. `filedat.dat` — Graftor 键盘记录器 / 窃密程序 / 下载器 | 字段 | 值 | |------|-----| | 路径 | `Program Files\ProKAward\filedat.dat` | | MD5 | `377a3707a5b10f95f731e5feb131d68c` | | SHA-256 | `01149f1442787755c79c61499355a79dcfe8ebb67ea9b91fc6413d56ec2070f6` | | 分类 | `Trojan.Graftor` — 键盘记录器、窃密程序、下载器 | 伪装成非可执行文件的数据文件。属于 `ProKAward` 恶意软件集群（与 `rsasws.exe` 和 `wap.exe` 相同目录）。作为 Award Keylogger 家族中的键盘记录器有效载荷和数据窃取组件。 ### 9. `wap.exe` — Award 键盘记录器（磁盘工件） | 字段 | 值 | |------|-----| | 路径 | `Program Files\ProKAward\wap.exe` | | MD5 | `5f05bd96f3ff5fa56c9d41c012ec6a13` | | SHA-256 | `9c8d0a43aa95e439cede9b69cacfb3c606381bfd6745111c5cfe73a38af9ae38` | | 分类 | Award Keylogger | 内存中 `wap.exe` 进程的磁盘驻留对应物。确认为 **Award Keylogger** 家族——监控和记录键盘输入、剪贴板内容和用户活动日志，将获取的数据传输到攻击者的 C2 基础设施。 ### 10. `win10drivetest(Demo).exe` — 木马.Graftor / 键盘记录器 | 字段 | 值 | |------|-----| | 路径 | `win10drivetest(Demo).zip\win10drivetest(Demo).exe` | | MD5 | `425d130e0b3aca2813c0fdbc743e1a72` | | SHA-256 | `7c454a1100471e6f2f7cf71df5ded3b367243f7d87d17752b12baf9b85119749` | | 分类 | `Trojan.Keylogger` / Graftor | 伪装成 Windows 10 驱动程序工具，此样本属于 Graftor 恶意软件家族。功能包括键盘捕获、凭据窃取以及从远程服务器检索其他恶意组件。 ## 恶意软件摘要 | # | 文件 | 分类 | 功能 | |---|------|------|------| | 1 | `TunMirror2.exe` | HackTool.AutoKMS | 许可证绕过，风险软件 | | 2 | `KMSAuto Net.exe` | MSIL 木马 | 后门、窃密程序、注入器、间谍软件 | | 3 | `KMSCleaner.exe` | 木马 / 风险软件 | 伴随投放器 | | 4 | `KMSSS.exe` | MSIL 后门 | 远程访问，持久化 | | 5 | `zw[1].exe` | **LokiBot** | 凭据窃取器，浏览器数据窃取 | | 6 | `loder[1].exe` | MSIL 投放器 | 有效载荷传递 | | 7 | `updsto.exe` | RAT | 完全远程访问，数据窃取 | | 8 | `filedat.dat` | Graftor | 键盘记录器，下载器，窃密程序 | | 9 | `wap.exe` | Award Keylogger | 击键捕获，C2 通信 | | 10 | `win10drivetest(Demo).exe` | Trojan.Graftor | 键盘记录器，次级有效载荷获取 | ## 感染链 ## 修复建议 **立即遏制：** - 立即将机器与网络隔离——切断所有 Wi-Fi 和以太网连接。如果基于虚拟机，请在 VMware 设置中禁用网络适配器。 - 在活跃取证收集期间**不要**重启系统；内存中的工件在重启后将被销毁。 - 隔离所有标记的文件，而不是直接删除，以保留它们供进一步分析。 **根除：** - 删除所有与 `KMSAutoS\`、`ProKAward\` 及相关目录关联的文件。 - 卸载在感染期间安装的任何无法验证其合法性的程序。 - 断开网络连接后，使用信誉良好的端点检测工具运行全系统扫描。 **恢复：** - 轮换可能在受损机器上活动的所有账户的凭据——优先处理电子邮件、金融和管理账户。 - 审查会话令牌、保存的浏览器密码和应用程序凭据；假设所有内容都已被键盘记录器和窃密程序捕获。 - 在重新连接到任何网络之前，应用所有待处理的操作系统和应用程序补丁。 **加固：** - 强制执行应用程序白名单，以防止未经授权的可执行文件运行。 - 启用带有行为启发式的实时防病毒软件，同时进行签名检测。 - 限制用户权限——标准用户账户不应能够安装软件或修改 `Program Files\`。 - 维护离线的、版本化的备份，以支持干净状态的恢复，而无需支付赎金或丢失数据。 ## 关键要点 感染起源于**盗版软件下载**（KMSAuto），其中嵌入了一个功能齐全的恶意软件捆绑包，该捆绑包建立了持久性，部署了键盘记录器，打开了远程访问后门，并通过浏览器缓存分阶段传递次级有效载荷。攻击者长期、多向量地访问了该机器。 调查表明，**结合内存和磁盘取证至关重要**——几个恶意软件组件（特别是 `wap.exe`/`UW.exe`）主要在内存中运行，在磁盘上留下的痕迹很少，而其他组件（LokiBot, Graftor）则持久存在于磁盘上，但只能通过从内存转储中恢复的进程树来理解其上下文。 ## 使用的工具 | 工具 | 用途 | 链接 | |------|------|------| | Magnet RAM Capture | 易失性内存获取 | [magnetforensics.com](https://www.magnetforensics.com/resources/magnet-ram-capture/) | | VMware Workstation Pro | 虚拟机托管和磁盘镜像 | [vmware.com](https://www.vmware.com) | | Volatility Workbench v3 | 内存取证和进程分析 | [volatilityfoundation.org](https://www.volatilityfoundation.org) | | Autopsy Forensic Browser | 磁盘镜像分析和工件恢复 | [sleuthkit.org/autopsy](https://www.sleuthkit.org/autopsy/) | | VirusTotal | 多引擎哈希和文件验证 | [virustotal.com](https://www.virustotal.com) | *Windows 10 虚拟机取证调查 · CT046-3-1 ISFT · APD1F2409CS(CYB) · 亚太科技大学*

标签：Autopsy磁盘分析, DAST, SecList, VirusTotal哈希验证, VMware虚拟机, Volatility内存分析, Windows 10取证, 事件响应模拟, 内存取证, 内存获取, 取证工作流程, 后门木马, 哈希验证, 多引擎扫描, 威胁分类, 恶意软件分析, 恶意软件样本确认, 数字取证, 易失性内存分析, 注入器, 磁盘取证, 磁盘成像, 窃取器, 网络安全, 自动化脚本, 远程访问木马, 键盘记录器检测, 隐私保护, 非易失性存储取证, 风险软件