jaydenwilliams-cyber/malware-analysis-lab

# jigsaw-static-analysis-lab 使用 PEStudio 和 VirusTotal 对 Jigsaw 勒索软件进行静态分析。已映射 MITRE ATT&CK。 # Jigsaw 勒索软件静态分析实验 **样本：** JigsawRansomware.exe **SHA256：** F32A14E2A7A2510862C04FDC2E9AE97BB4F444D33DC5394360AD3402548BF687 **来源：** MalwareBazaar (bazaar.abuse.ch) **日期：** 2026年6月14日 **环境：** Swordfish II — Windows 11 虚拟机，已隔离，Defender 已禁用 **工具：** PEStudio 9.61, VirusTotal ## 概述 Jigsaw 是一种 .NET 勒索软件毒株，最早发现于 2016 年，基于 HiddenTear 开源框架构建。它会加密文件并附加 `.locked` 扩展名，同时每小时倒计时删除文件，直到受害者支付赎金。本实验仅涵盖静态分析——不进行实际引爆。 ## 样本元数据 | 字段 | 值 | |---|---| | 原始文件名 | JigsawRansomware.exe | | 文件类型 | 可执行文件, 32-bit, GUI | | 大小 | 335 KB (343,044 bytes) | | 熵值 | 7.356 | | 编译器 | Microsoft Linker 48.0 / .NET | | 编译时间戳 | Sun Feb 10 07:39:52 2019 (UTC) | | VirusTotal 评分 | 56/72 | | 家族标签 | jigsaw, msil, hiddentear | 使用 `Jigsaw` 标签过滤器从 MalwareBazaar 获取的样本：   确认元数据的 PEStudio 文件概述：  ## 静态分析发现 ### 文件头 PEStudio 确认了有效的 MZ/PE 头。该文件是一个使用 Microsoft Linker 48.0 编译的 32 位 .NET 可执行文件。.NET 模块名为 `JigsawRansomware.exe`，调试路径泄露了开发者的机器：`C:\Users\medicbag\Desktop\deltasec ransom\JigsawRansomware`。威胁行为者使用了别名 DeltaSEC Corp。 ### 熵值 熵值为 7.356，表明存在部分混淆。结合 VirusTotal 上的 `obfuscated` 行为标签和 `detect-debug-environment` 标记，该二进制文件使用了反分析技术——这与样本在虚拟机分析环境中打开时终止的情况一致。 标记出可疑特征的 PEStudio 指示器选项卡：  ### 导入 PEStudio 标记了 8 个以上的可疑导入： - `CreateEncryptor` / `DecryptFile` / `EncryptFile` — 文件加密 - `CreateDirectory` — 目录遍历 - `SetStartupRegistry` / `RemoveStartupRegistry` — 持久化和清理 - `GetProcess` — 进程枚举 ### 字符串分析 提取了 7,399 个字符串。主要发现： **勒索信文本（硬编码）：** - "Your personal files are being deleted and encrypted by DeltaSEC" - "Every hour we select some of them to delete permanently" - "If you turn off your computer or try to close our software, all your files will be encrypted and you will never access them" - "DON'T TRY THAT ASSHOLE... WE KNOW EVERYTHING" - "Thanks from your friends at DeltaSEC Corp. #2019" - "Please, send at least $... worth of Bitcoin here"  **支付基础设施：** - Bitcoin 地址：`12Xspzstah37626slkwKhsKSH` - Bitcoin API：`http://btc.blockr.io/api/v1/` - 函数：`vanityAddresses`, `coin/info/`, `address/balance/`, `buttonCheckPayment`  **目标文件扩展名：** `.jpg .jpeg .raw .tif .gif .png .bmp .3dm .max .accdb .db` （部分列表）  **勒索软件机制：** - `ExtensionsToEncrypt` — 文件目标列表 - `RansomUsd` — 美元金额变量 - `labelFilesToDelete` / `labelCountDown` — 删除倒计时 UI - `59:59` — 倒计时计时器起始值 - `.locked` — 附加到加密文件的扩展名 - `\DeleteItself.bat` — 支付后的自我删除脚本  ### VirusTotal 72 个引擎中有 56 个将该样本标记为恶意。部分检测项： | 供应商 | 检测项 | |---|---| | CrowdStrike | Win/malicious_confidence_100% | | ESET-NOD32 | A Variant Of MSIL/Filecoder.Jigsaw.B | | Emsisoft | Trojan-Ransom.Jigsaw (A) | | Avira | TR/Jigsaw.xxwro | | AliCloud | Ransomware:Win/Jigsaw.AZ | 行为标签：`detect-debug-environment`, `long-sleeps`, `obfuscated`, `persistence`   ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---|---|---| | 执行 | Native API | T1106 | | 执行 | Shared Modules | T1129 | | 持久化 | Registry Run Keys / Startup Folder | T1060 | | 持久化 | Boot or Logon Autostart Execution | T1547 | | 权限提升 | Process Injection | T1055 | | 防御规避 | Obfuscated Files or Information | T1027 | | 防御规避 | Virtualization/Sandbox Evasion | T1497 | | 防御规避 | Masquerading | T1036 | | 发现 | Query Registry | T1012 | | 发现 | File and Directory Discovery | T1083 | | 发现 | Process Discovery | T1057 | | 收集 | Archive Collected Data | T1560 | | 命令与控制 | Application Layer Protocol | T1071 | | 影响 | Resource Hijacking | T1496 | | 损害防御 | Modify Registry | T1112 | 来源：VirusTotal 行为选项卡，跨越 CAPA、CAPE Sandbox、Zenbox 和 Microsoft Sysinternals 沙箱的 33 个 MITRE 特征码。  ## 环境设置 - **虚拟机：** VirtualBox — Swordfish II (Windows 11, 64-bit, 8GB RAM) - **网络：** NAT 适配器在下载样本后、解压前已禁用 - **Defender：** 实时保护和 Tamper Protection 在分析前已禁用 - **快照：** 在传输样本前拍摄了 clean-baseline - **样本来源：** MalwareBazaar — tag:Jigsaw，使用 ZIP 密码 `infected` 下载 分析前的 Windows Defender 配置：   ## 实验系列 这是 Cowboy Bebop 家庭实验室系列的一部分。所有虚拟机都以动画中的飞船命名。 - Bebop — Ubuntu/Splunk SIEM - Swordfish II — Windows 11 分析工作站 - Red Dragon — Kali Linux 上一个实验：[Cowboy Bebop 威胁狩猎实验](https://medium.com/@jwilliams.cyber) Medium 文章：https://medium.com/p/43d2a0759624 ## 动态分析 **日期：** 2026年6月15日 **环境：** Swordfish II — Windows 11 虚拟机，VirtualBox，Host-Only 网络适配器 **工具：** Process Monitor (Sysinternals), Wireshark 4.6.6 ### 设置 在引爆前 ProcMon 和 Wireshark 已在运行。Host-Only 适配器，Defender 已关闭，已部署干净快照。 首次运行引发了 .NET 路径长度异常。文件名是完整的 SHA256 哈希——64 个字符——这使得完整路径超过了 Windows 的 260 字符限制。将其重命名为 `jigsaw.exe` 后成功启动。 ### 执行 屏幕上首先出现的是一个 .NET 初始化错误："DeltaSEC Has Successfully hacked ur pc: NOW see the results."。确认已执行。  ### 持久化 Jigsaw 将自身副本释放到了两个 AppData 位置： - `C:\Users\46jay\AppData\Roaming\deltasec\deltasec.exe` - `C:\Users\46jay\AppData\Local\deltasec\deltasec.exe` 这两个文件夹都在下午 2:24 出现——与引爆在同一分钟。第三个文件夹 `System32Work` 出现在 AppData\Roaming 中。二进制文件的描述字段是 `deltasechax`，这与静态分析字符串中的 DeltaSEC Corp 别名相符。   ### 进程行为 ProcMon 记录了 360 万个事件。过滤到 `deltasec.exe`：针对 `HKLM\SOFTWARE\Microsoft\Windows` 的快速注册表查询，跨多个 PID 的线程创建，针对 .NET Framework 和 NativeImages 程序集缓存的文件读取。大量扫描活动。没有加密。  ### 文件加密 从未触发。这是一个在 Windows 11 上运行的 2016 年 .NET 样本——勒索软件逻辑存在阻止引爆的兼容性问题。没有 `.locked` 扩展名，没有勒索屏幕，没有倒计时计时器。持久化和进程行为表现正常。 ### 网络 Wireshark 捕获了端口 443 上的出站 TCP 流量，但它与样本运行所需的 .NET Framework 下载重叠。无法将 C2 流量与框架流量隔离开来。反正 Jigsaw 的 C2 基础设施自 2016 年以来就已经离线了。 ### MITRE ATT&CK — 动态发现 | 技术 ID | 名称 | 证据 | |---|---|---| | T1486 | Data Encrypted for Impact | 已尝试 — 被 Windows 11 兼容性阻止 | | T1547.001 | Boot/Logon Autostart: Registry Run Keys | deltasec.exe 释放到 AppData，确认持久化 | | T1036.005 | Masquerading | 二进制文件重命名为 deltasechax，被复制以模仿合法路径 | | T1083 | File and Directory Discovery | ProcMon 显示跨 WinSxS 的目录枚举 | | T1012 | Query Registry | 在 HKLM 和 HKCU 上有 RegQueryKey 和 RegQueryValue 命中 | Medium 文章：https://medium.com/@jwilliams.cyber/hunting-jigsaw-on-swordfish-ii-dynamic-analysis-with-process-monitor-bf9d59f871f9

标签：DAST, DNS 反向解析, IP 地址批量处理, PEStudio, 云安全监控, 云资产清单, 勒索软件, 合规性检查, 多人体追踪, 威胁情报, 开发者工具, 恶意软件分析, 自定义DNS解析器, 逆向工程, 静态分析