muskanunnisa/Ransomware-Forensics-DFIR-Lab
GitHub: muskanunnisa/Ransomware-Forensics-DFIR-Lab
该项目是一个隔离环境中的勒索软件取证模拟实验室,用于教学 DFIR 分析流程并生成 YARA 检测规则。
Stars: 0 | Forks: 0
# 🔍 勒索软件取证模拟与 DFIR 分析报告
## 1. 执行摘要
* **内容:** 为 DFIR 教育模拟的勒索软件加密攻击。
* **位置:** 采用 Host-Only 网络布局的隔离 Ubuntu 虚拟机。
* **时间:** 2026 年 7 月 6 日。
* **影响:** 成功锁定并加密了 22 个关键文件,生成了取证时间线工件,并建立了威胁检测规则。
## 2. 实验室环境设置
* **宿主基础设施:** 运行 VMware Workstation 的 Dell 工作站。
* **攻击机:** Kali Linux(运行 Streamlit Forensics Dashboard 的分析平台)。
* **受害者机器:** Ubuntu Desktop(目标模拟环境)。
* **网络隔离:** Host-only 配置(`192.168.159.0/24`),确保零互联网泄露。
## 3. 已恢复与分析的取证工件
### 📊 Dashboard 概览
*(我们将在下一步在此处插入您的 Dashboard 截图!)*
### 🔐 密码学摘要
* **Algorithm:** AES-256(Fernet 对称加密)。
* **Session Key:** `a3e7cc09df299a2cfde39350b7ade925c1a93b29d75c3f3e625f79e7f09944da`
* **Key 格式:** 64 字符的十六进制字符串。
### ⏱️ 攻击时间线
* **执行窗口:** 开始于 `18:38:36 UTC`,并在大约 60 秒内完成。
* **加密特征:** 文件以大约 **0.5 秒/文件** 的极快速度被顺序处理。
* **入侵指标(IOCs):** 所有目标文件均附加了 `.locked` 扩展名,且原始数据被彻底删除。
## 4. 自动化威胁检测(YARA)
为了在企业网络中动态识别此勒索软件变种,我们部署了以下基于特征的 YARA 规则:
```
rule Ransomware_Sim_Detection {
meta:
description = "Detects simulated ransomware indicators"
author = "DFIR Student"
date = "2026-07-06"
strings:
$note = "README_RESTORE" ascii
$ext = ".locked" ascii
$key_pattern = /[a-f0-9]{64}/ ascii
condition:
any of them
}
```
标签:AMSI绕过, Kubernetes, YARA, 云资产可视化, 勒索软件分析, 威胁检测, 安全实验平台, 库, 应急响应, 数字取证, 自动化脚本, 逆向工具