MadeneMeriem/wormlocker2.0-malware-analysis

# WormLocker 2.0 - 勒索软件分析与应急响应 本项目是对 WormLocker 2.0 勒索软件的全面分析，作为计算机与网络安全课程的一部分完成。内容包括数字取证调查、应急响应报告以及详细的恶意软件分析。所有操作均在完全隔离的虚拟机中完成，仅供教育目的。 ## 本仓库包含的内容 | 文件 | 描述 | |---|---| | `forensics_report.pdf` | 使用 Volatility 3 和 Autopsy 进行的内存与磁盘取证 | | `incident_response_report.pdf` | 从检测到恢复的完整应急响应报告 | | `WormLocker2_0_Ransomware_Analysis.pdf` | 针对恶意软件代码的静态与行为分析 | ## 恶意软件信息 | 属性 | 值 | |---|---| | 名称 | WormLocker 2.0 | | 类型 | 勒索软件 | | 平台 | Windows (.NET 可执行文件) | | 文件大小 | 322.50 KB | | MD5 | `1b4f89bdb12a349de92ca7f1261e67a0` | | SHA1 | `f368916850332757d7ed2f0ee335c16b9c9fc95b` | | SHA256 | `d4c83205cf6f3098ab6a757312525f4d14a57a819306eeea5c0d022b00b38cf3` | | 网络活动 | 无 | ## 恶意软件行为 WormLocker 2.0 是一款 .NET 勒索软件，它会加密文件、锁定屏幕并勒索付款。如果用户在未付款的情况下尝试重启，它会破坏 Windows 安装。 攻击流程： 1. 将 `WormLocker2.0.exe` 释放到 `C:\Windows\System32` 2. 运行 `takeown` 和 `icacls` 以获取 System32 的所有权 3. 启动 120 分钟的倒计时 4. 使用 AES-256 加密桌面和下载文件夹中的所有文件 5. 终止 `explorer.exe` 导致桌面消失 6. 释放并运行 `ransom_voice.vbs` 播放语音恐吓 7. 劫持 `LogonUI.exe`，使得重启时加载恶意屏幕而非正常 Windows 系统 加密细节： - 算法：AES-256-CBC - 密钥派生：Rfc2898DeriveBytes，迭代 1000 次 - 盐值 (Salt)：`{1,2,3,4,5,6,7,8}`（静态 - 这是一个弱点） - 解密密码被硬编码在二进制文件中（另一个弱点） ## 攻陷指标 **文件：** ``` C:\Windows\System32\WormLocker2.0.exe C:\Windows\System32\LogonUI.exe (replaced with malicious version) C:\Windows\System32\ransom_voice.vbs C:\Windows\System32\wscript.exe (modified) ``` **被修改的注册表项：** ``` HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ``` **恶意命令：** ``` takeown /f C:\Windows\System32 icacls C:\Windows\System32 /grant "%username%:F" wscript.exe ransom_voice.vbs ``` ## 取证调查 **内存取证 (Volatility 3)：** 内存转储取自受感染的 Windows 10 x64 机器（内核版本 10.0.19041）。发现的关键可疑进程： | PID | 进程 | 备注 | |---|---|---| | 4276 | WormLocker2.0 | 主要恶意软件进程 | | 528 | cmd.exe | 运行 takeown 和 icacls | | 5380 | wscript.exe | 释放勒索信 | | 3680 | conhost.exe | cmd.exe 的控制台宿主进程 | `malfind` 标记了 5 个具有 `PAGE_EXECUTE_READWRITE` 权限的内存区域以及可疑的私有可执行内存分配。未发现网络连接。 **磁盘取证 (Autopsy)：** 磁盘镜像为采用 NTFS 文件系统的 20GB VMDK。发现的证据包括： - System32 中的 `WormLocker2.0.exe`，时间戳与感染时间一致 - `LogonUI.exe` 已被替换；二进制文件内部的 PDB 路径 `C:/Users/Worm/source/repos/wormlogon/...` 证实其由攻击者编译 - `password.txt` 和 `credit_card_infos.txt` 已被加密，熵值为 7.33 且未更改文件扩展名 - Windows Prefetch 中确认存在针对 WormLocker 的 Run 键痕迹 ## 应急响应总结 **根本原因：** 用户运行了从可疑网站下载的文件。Windows Defender 实时保护处于关闭状态。 **我们的操作：** - 检测到威胁后，立即将虚拟机与网络隔离 - 无法终止进程（屏幕被锁定，任务管理器被禁用） - 保存了机器状态以进行取证分析 - 从干净的快照恢复了虚拟机 **恢复时间：** 17 分 38 秒（快照恢复） 如果是在真实的物理机场景下，由于该恶意软件会在重启时破坏操作系统，恢复将需要重新安装 Windows。 ## 使用的工具 - Volatility 3（内存取证） - Autopsy 4.21（磁盘取证） - SysMon + Elastic Stack + WinLogBeat（监控） - Wireshark + Suricata（网络） - dnSpy（反编译） - DIE / pescan / monodis / strings（静态分析） - VirusTotal + AnyRun（恶意软件情报） - VirtualBox + VBoxManage（沙箱） - YARA + Windows Defender ## 仓库结构 ``` WormLocker2.0-Analysis/ ├── README.md ├── reports/ │ ├── forensics_report.pdf │ ├── incident_response_report.pdf │ └── WormLocker2_0_Ransomware_Analysis.pdf ├── iocs/ │ └── iocs.txt └── screenshots/ ``` ## 免责声明 所有分析均在完全隔离且无网络访问的虚拟机中完成，未开启共享剪贴板，也未与宿主机开启共享文件夹。本项目作为大学网络与计算机安全课程的一部分，仅供教育目的。 ## 作者 MADENE Meriem — DFIR / SOC MOSTEFAOUI Manel — 恶意软件分析 BRAHMI Sarah Kaouther — 监控与日志 计算机科学高等学院 — 2025 年 11 月

标签：Burp Suite 替代, DAST, Metaprompt, MIT许可证, 勒索软件, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本, 速率限制