muskanunnisa/Ransomware-Forensics-DFIR-Lab

GitHub: muskanunnisa/Ransomware-Forensics-DFIR-Lab

该项目是一个隔离环境中的勒索软件取证模拟实验室,用于教学 DFIR 分析流程并生成 YARA 检测规则。

Stars: 0 | Forks: 0

# 🔍 勒索软件取证模拟与 DFIR 分析报告 ## 1. 执行摘要 * **内容:** 为 DFIR 教育模拟的勒索软件加密攻击。 * **位置:** 采用 Host-Only 网络布局的隔离 Ubuntu 虚拟机。 * **时间:** 2026 年 7 月 6 日。 * **影响:** 成功锁定并加密了 22 个关键文件,生成了取证时间线工件,并建立了威胁检测规则。 ## 2. 实验室环境设置 * **宿主基础设施:** 运行 VMware Workstation 的 Dell 工作站。 * **攻击机:** Kali Linux(运行 Streamlit Forensics Dashboard 的分析平台)。 * **受害者机器:** Ubuntu Desktop(目标模拟环境)。 * **网络隔离:** Host-only 配置(`192.168.159.0/24`),确保零互联网泄露。 ## 3. 已恢复与分析的取证工件 ### 📊 Dashboard 概览 *(我们将在下一步在此处插入您的 Dashboard 截图!)* ### 🔐 密码学摘要 * **Algorithm:** AES-256(Fernet 对称加密)。 * **Session Key:** `a3e7cc09df299a2cfde39350b7ade925c1a93b29d75c3f3e625f79e7f09944da` * **Key 格式:** 64 字符的十六进制字符串。 ### ⏱️ 攻击时间线 * **执行窗口:** 开始于 `18:38:36 UTC`,并在大约 60 秒内完成。 * **加密特征:** 文件以大约 **0.5 秒/文件** 的极快速度被顺序处理。 * **入侵指标(IOCs):** 所有目标文件均附加了 `.locked` 扩展名,且原始数据被彻底删除。 ## 4. 自动化威胁检测(YARA) 为了在企业网络中动态识别此勒索软件变种,我们部署了以下基于特征的 YARA 规则: ``` rule Ransomware_Sim_Detection { meta: description = "Detects simulated ransomware indicators" author = "DFIR Student" date = "2026-07-06" strings: $note = "README_RESTORE" ascii $ext = ".locked" ascii $key_pattern = /[a-f0-9]{64}/ ascii condition: any of them } ```
标签:AMSI绕过, Kubernetes, YARA, 云资产可视化, 勒索软件分析, 威胁检测, 安全实验平台, 库, 应急响应, 数字取证, 自动化脚本, 逆向工具