syedghulamm50/Incident-Response-Plan-Ransomware-Playbook-NIST-MITRE-ATT-CK-
GitHub: syedghulamm50/Incident-Response-Plan-Ransomware-Playbook-NIST-MITRE-ATT-CK-
基于 NIST 和 MITRE ATT&CK 框架的勒索软件事件响应手册,提供从日志分析到系统恢复的完整应急处置流程。
Stars: 0 | Forks: 0
# 🦠 模拟勒索软件攻击分析
以下场景基于捕获的勒索软件执行日志。观察到该恶意软件正在扫描目录、生成加密线程,并尝试在加密前访问文件。
## 📄 观察到的执行日志
捕获的日志显示,该勒索软件正在初始化其加密引擎并开始文件枚举。
### 示例日志条目
```
[file_logger] [info] Number of thread to folder parsers = 2
[file_logger] [info] Number of thread to root folder parsers = 1
[file_logger] [info] Number of threads to encrypt = 5
[file_logger] [error] File handle not found!
(C:\Program Files\7-Zip\7-zip.chm)
[file_logger] [error] File handle not found!
(C:\Program Files\7-Zip\Lang\en.txt)
[file_logger] [error] File handle not found!
(C:\Program Files (x86)\Bonjour\Bonjour.Resources\About Bonjour.rtf)
```
# 🔍 日志分析
日志表明勒索软件已经进入加密阶段。
### 线程初始化
该恶意软件创建多个工作线程以加快加密速度。
```
Folder Parser Threads : 2
Root Parser Threads : 1
Encryption Threads : 5
```
这表明其采用了多线程勒索软件架构,旨在同时加密多个文件。
### 文件枚举
该恶意软件会扫描已安装的应用程序,包括:
- 7-Zip
- Apple Bonjour
- 语言资源文件
- 文档文件
示例包括:
```
C:\Program Files\7-Zip\
```
```
C:\Program Files (x86)\Bonjour\
```
此行为表明在加密前进行了自动化的目录遍历。
### 文件句柄错误
大量条目显示:
```
File handle not found
```
可能的原因包括:
- 文件不存在
- 文件当前被锁定
- 访问被拒绝
- 不支持的文件类型
- 软件已被卸载
尽管这些文件无法打开,勒索软件仍继续扫描其他目录。
# 📊 MITRE ATT&CK 映射
| 攻击阶段 | MITRE 技术 | 日志中的证据 | 响应措施 |
|--------------|----------------|--------------------|----------|
| 发现 | T1083 - File and Directory Discovery | 恶意软件扫描 Program Files 目录 | 监控异常的目录枚举 |
| 执行 | T1106 - Native API | 初始化多个加密线程 | 立即终止勒索软件进程 |
| 收集 | T1005 - Data from Local System | 尝试访问大量本地文件 | 隔离端点 |
| 影响 | T1486 - Data Encrypted for Impact | 检测到加密工作线程 | 从离线备份恢复 |
# 🚨 危害指标
在执行过程中观察到了以下指标:
- 创建多个加密线程
- 自动化目录遍历
- 反复的文件访问尝试
- 高速文件系统枚举
- 尝试访问 Program Files
- 持续的文件句柄错误
# 🛡️ 建议的事件响应
## 步骤 1 - 隔离主机
立即断开受影响计算机的以下连接:
- 以太网
- Wi-Fi
- VPN
这可以防止勒索软件进行横向传播。
## 步骤 2 - 保留证据
**不要**重启计算机。
收集:
- 内存转储(如果可能)
- Windows Event Logs
- Wazuh 警报
- 正在运行的进程
- 磁盘映像
## 步骤 3 - 停止恶意进程
在更多文件被加密之前,使用 EDR 解决方案或任务管理器终止勒索软件进程。
## 步骤 4 - 恢复系统
- 重装受影响端点的系统镜像。
- 恢复经过验证的离线备份。
- 在将恢复的系统重新连接到生产网络之前对其进行扫描。
# 📌 关键发现
✅ 检测到多线程勒索软件执行。
✅ 观察到自动化文件系统扫描。
✅ 针对已安装软件目录的多次文件访问尝试。
✅ 证据表明在加密前存在活跃的文件枚举。
✅ 立即隔离主机将显著减少进一步的损害。
标签:勒索软件, 合规框架, 安全运营, 库, 应急响应, 扫描框架, 防御加固