AbidiMedNadhir/malware-analysis-jigsaw

GitHub: AbidiMedNadhir/malware-analysis-jigsaw

该项目是对 Jigsaw 勒索软件进行自动化、静态和动态深度分析的结构化技术报告，包含完整的 IOC 指标与执行链拆解。

Stars: 0 | Forks: 0

![大学](https://img.shields.io/badge/TEK--UP%20University-Tunis,%20Tunisia-e63946?style=flat-square&logo=graduation-cap&logoColor=white) ![状态](https://img.shields.io/badge/Status-Completed-2ea44f?style=flat-square&logo=checkmarx&logoColor=white) ![许可证](https://img.shields.io/badge/Purpose-Educational%20Only-0078D4?style=flat-square)

## 📌 概述本仓库包含 **Jigsaw 勒索软件**的完整技术分析报告（原始名为 `BitcoinBlackmailer.exe`），该分析是作为 TEK-UP 大学 **Malware Analysis** 模块的一部分进行的 —— 专业方向：*Sécurité des Systèmes Informatiques et des Réseaux*。该分析通过三种互补的方法进行： | 方法 | 描述 | |----------|-------------| | 🤖 **自动化分析** | 提交至在线沙箱以进行行为分析 | | 🔍 **静态分析** | 不执行二进制文件的情况下进行检查 —— PE 结构、字符串、熵 | | ⚙️ **动态分析** | 在隔离的 VM 中受控执行 —— 注册表、文件系统、进程监控 | ## 🎯 样本概况 | 字段 | 值 | |-------|-------| | **恶意软件家族** | Jigsaw 勒索软件 | | **原始名称** | BitcoinBlackmailer.exe | | **类型** | 加密勒索软件 + Wiper | | **首次发现** | 2016年4月 (VirusTotal: 2016-04-11) | | **平台** | Windows PE32 —— .NET Framework (C#/Mono) | | **加密方式** | AES 对称加密 —— 硬编码密钥（致命缺陷） | | **勒索金额** | 150 美元的 Bitcoin | | **MD5** | `2773e3dc59472296cb0024ba7715a64e` | | **SHA-1** | `27d99fbca067f478bb91cdbcb92f13a828b00859` | | **SHA-256** | `3ae96f73d805e1d3995253db4d910300d8442ea603737a1428b613061e7f61e7` | | **检出率** | **64/71** 个杀毒引擎 (VirusTotal) | | **威胁评分** | **100/100** (Hybrid-Analysis) | ## 🎓 项目目标本项目旨在实现以下学习成果： - 🧠 了解恶意软件的**类型和家族**，重点关注勒索软件 - 🧰 学习如何在隔离环境中**安全处理恶意软件样本** - 🌐 获得使用**在线恶意软件分析平台**（沙箱）的实践经验 - 🔬 掌握**三阶段分析方法**：自动化 → 静态 → 动态 - 🛡️ 提取**失陷标证 (IOC)** 并制定防御建议 - 📄 制作结构化、专业的**恶意软件分析报告** ## 📂 仓库结构 ``` malware-analysis-jigsaw/ │ ├── README.md ← You are here ├── .gitignore ← Excludes executables and binary files │ ├── report/ │ └── rapport_analyse_malware_jigsaw.pdf ← Full analysis report (French) │ └── ioc/ └── ioc_jigsaw.md ← Indicators of Compromise table ``` ## 🔬 分析摘要 ### 🤖 自动化分析在进入更深入的分析阶段之前，使用在线沙箱获取初步的行为概览。 | 平台 | 主要结果 | |----------|-----------| | **VirusTotal** | 64/71 检出 —— `Ransom.Jigsaw`, `Trojan.Ransom.Jigsaw`, `Win32/Jigsaw.A` | | **ANY.RUN** | 交互式观察到完整的 7 阶段执行链 | | **Hybrid-Analysis** | 威胁评分 **100/100** —— 匹配到 67 个 MITRE ATT&CK 签名（4 个高严重性） | | **CAPE Sandbox** | 3 项行为检测，识别出针对 `btc.blockr.io` 的 DNS 查询 | ### 🔍 静态分析使用 REMnux 上的专业工具在不执行的情况下对二进制文件进行了检查。 | 工具 | 主要发现 | |------|------------| | **PEStudio** | 211 个导入 —— 3 个被标记为恶意：`VirtualProtect`, `WinExec`, `SetWindowPos` | | **Strings** | 发现明文的 `EncryptionPassword` 字段 —— AES 密钥被硬编码在二进制文件中 | | **PEscan** | 全局熵 **7.677**（“可能被加壳”） —— `!mmUPp'B` 区段可写 + 可执行 | | **Manalyze** | `[MALICIOUS]` —— PE 伪装成 Firefox 但未带有数字签名 | **重要的静态指标：** - 自修改区段 `!mmUPp'B` —— Confuser .NET 混淆器的典型特征 - 内部元数据：`FileDescription=Firefox`，`InternalName=BitcoinBlackmailer` —— 故意制造的矛盾 - Stack Canary、SafeSEH 和 CFG **被禁用** —— 降低了漏洞利用缓解措施 ### ⚙️ 动态分析 Jigsaw 在隔离的 Windows 10 VM（VMware，仅主机网络）内执行，并使用 Regshot 捕获执行前后的系统状态差异。 | 观察项目 | 详情 | |-------------|--------| | **文件加密** | 文件被重命名并添加 `.fun` 扩展名 —— `document.pdf.fun`, `photo_test.jpg.fun`... | | **持久化机制** | 注册表键 `HKCU\...\Run\firefox.exe` → `%APPDATA%\Drpbx\drpbx.exe` | | **系统变更总计** | **101 项变更** —— 9 个文件被修改，23 个注册表键被添加，48 个键被修改 | | **网络活动** | 针对 `btc.blockr.io/api/v1` 的 DNS 查询 —— Bitcoin 支付验证 | | **勒索界面** | 倒计时器 + Billy 玩偶（源自《电锯惊魂》系列） + 渐进式删除威胁 | **执行链（在 ANY.RUN 中观察到的 7 个阶段）：** 1. 启动 `BitcoinBlackmailer.exe` —— 父进程 `#JIGSAW` 2. 自动复制到 `%APPDATA%\Drpbx\drpbx.exe` —— 子进程 `THREAT` 3. 遍历所有可访问目录的文件系统 4. AES 加密 + 为每个目标文件追加 `.fun` 扩展名 5. 创建 `EncryptedFileList.txt` 6. 显示带有倒计时器的勒索要求窗口 7. 首小时过后开始渐进式删除文件 ## 🔴 失陷标证 (IOC) 完整的 IOC 表格可在 [`ioc/ioc_jigsaw.md`](ioc/ioc_jigsaw.md) 中查看 | 类型 | 值 | |------|-------| | MD5 | `2773e3dc59472296cb0024ba7715a64e` | | SHA-256 | `3ae96f73d805e1d3995253db4d910300d8442ea603737a1428b613061e7f61e7` | | 持久化路径 | `%APPDATA%\Drpbx\drpbx.exe` | | 注册表键 | `HKCU\Software\Microsoft\Windows\CurrentVersion\Run\firefox.exe` | | C2 域名 | `btc.blockr.io` · `btc.blockr.io/api/v1` | | 加密扩展名 | `.fun` `.kkk` `.btc` `.pay` | | 释放的文件 | `EncryptedFileList.txt` | ## 🛠️ 工具与环境 | 类别 | 使用的工具 | |----------|-----------| | **自动化** | VirusTotal · ANY.RUN · Hybrid-Analysis · CAPE Sandbox | | **静态** | PEStudio · Strings · PEscan · Manalyze · IDA Pro · Ghidra · PPEE · PeiD | | **动态** | Regshot · VMware Workstation (快照) | | **操作系统 —— 静态** | REMnux (用于恶意软件分析的 Linux 发行版) | | **操作系统 —— 动态** | Windows 10 —— 隔离的 VM，仅主机网络，无互联网访问 | ## 📄 报告完整的分析报告（PDF，法文）可在 [`report/`](report/) 目录中找到。内容包括： - 第 1 章 —— Jigsaw 的理论介绍：历史、感染媒介、加密机制、规避技术、IOC 以及事件响应程序 - 第 2 章 —— 技术分析：自动化（VirusTotal、ANY.RUN、Hybrid-Analysis、CAPE）、静态（PEStudio、Strings、PEscan、Manalyze）与动态（Regshot、VM 观察） ## 👤 作者 **Mohamed Nadhir Abidi** 网络安全工程专业学生
[![LinkedIn](https://img.shields.io/badge/LinkedIn-Connect-0A66C2?style=for-the-badge&logo=linkedin&logoColor=white)](https://linkedin.com/in/nadhir-abidi-95837325b) [![Email](https://img.shields.io/badge/Gmail-Contact-EA4335?style=for-the-badge&logo=gmail&logoColor=white)](mailto:abidimednadhir@gmail.com) [![GitHub](https://img.shields.io/badge/GitHub-AbidiMedNadhir-161b22?style=for-the-badge&logo=github&logoColor=white)](https://github.com/AbidiMedNadhir)

标签：DAST, DNS 反向解析, 云安全监控, 云资产清单, 勒索软件分析, 恶意软件分析, 自动化分析, 跨站脚本, 逆向工程, 静态分析