syedghulamm50/Incident-Response-Plan-Ransomware-Playbook-NIST-MITRE-ATT-CK-

GitHub: syedghulamm50/Incident-Response-Plan-Ransomware-Playbook-NIST-MITRE-ATT-CK-

基于 NIST 和 MITRE ATT&CK 框架的勒索软件事件响应手册,提供从日志分析到系统恢复的完整应急处置流程。

Stars: 0 | Forks: 0

# 🦠 模拟勒索软件攻击分析 以下场景基于捕获的勒索软件执行日志。观察到该恶意软件正在扫描目录、生成加密线程,并尝试在加密前访问文件。 ## 📄 观察到的执行日志 捕获的日志显示,该勒索软件正在初始化其加密引擎并开始文件枚举。 ### 示例日志条目 ``` [file_logger] [info] Number of thread to folder parsers = 2 [file_logger] [info] Number of thread to root folder parsers = 1 [file_logger] [info] Number of threads to encrypt = 5 [file_logger] [error] File handle not found! (C:\Program Files\7-Zip\7-zip.chm) [file_logger] [error] File handle not found! (C:\Program Files\7-Zip\Lang\en.txt) [file_logger] [error] File handle not found! (C:\Program Files (x86)\Bonjour\Bonjour.Resources\About Bonjour.rtf) ``` # 🔍 日志分析 日志表明勒索软件已经进入加密阶段。 ### 线程初始化 该恶意软件创建多个工作线程以加快加密速度。 ``` Folder Parser Threads : 2 Root Parser Threads : 1 Encryption Threads : 5 ``` 这表明其采用了多线程勒索软件架构,旨在同时加密多个文件。 ### 文件枚举 该恶意软件会扫描已安装的应用程序,包括: - 7-Zip - Apple Bonjour - 语言资源文件 - 文档文件 示例包括: ``` C:\Program Files\7-Zip\ ``` ``` C:\Program Files (x86)\Bonjour\ ``` 此行为表明在加密前进行了自动化的目录遍历。 ### 文件句柄错误 大量条目显示: ``` File handle not found ``` 可能的原因包括: - 文件不存在 - 文件当前被锁定 - 访问被拒绝 - 不支持的文件类型 - 软件已被卸载 尽管这些文件无法打开,勒索软件仍继续扫描其他目录。 # 📊 MITRE ATT&CK 映射 | 攻击阶段 | MITRE 技术 | 日志中的证据 | 响应措施 | |--------------|----------------|--------------------|----------| | 发现 | T1083 - File and Directory Discovery | 恶意软件扫描 Program Files 目录 | 监控异常的目录枚举 | | 执行 | T1106 - Native API | 初始化多个加密线程 | 立即终止勒索软件进程 | | 收集 | T1005 - Data from Local System | 尝试访问大量本地文件 | 隔离端点 | | 影响 | T1486 - Data Encrypted for Impact | 检测到加密工作线程 | 从离线备份恢复 | # 🚨 危害指标 在执行过程中观察到了以下指标: - 创建多个加密线程 - 自动化目录遍历 - 反复的文件访问尝试 - 高速文件系统枚举 - 尝试访问 Program Files - 持续的文件句柄错误 # 🛡️ 建议的事件响应 ## 步骤 1 - 隔离主机 立即断开受影响计算机的以下连接: - 以太网 - Wi-Fi - VPN 这可以防止勒索软件进行横向传播。 ## 步骤 2 - 保留证据 **不要**重启计算机。 收集: - 内存转储(如果可能) - Windows Event Logs - Wazuh 警报 - 正在运行的进程 - 磁盘映像 ## 步骤 3 - 停止恶意进程 在更多文件被加密之前,使用 EDR 解决方案或任务管理器终止勒索软件进程。 ## 步骤 4 - 恢复系统 - 重装受影响端点的系统镜像。 - 恢复经过验证的离线备份。 - 在将恢复的系统重新连接到生产网络之前对其进行扫描。 # 📌 关键发现 ✅ 检测到多线程勒索软件执行。 ✅ 观察到自动化文件系统扫描。 ✅ 针对已安装软件目录的多次文件访问尝试。 ✅ 证据表明在加密前存在活跃的文件枚举。 ✅ 立即隔离主机将显著减少进一步的损害。
标签:勒索软件, 合规框架, 安全运营, 库, 应急响应, 扫描框架, 防御加固