社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 3480阅读
  • 2回复

[分享]臭名昭著的Nefilim勒索团伙样本分析

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770593
飞翔币
207694
威望
215657
飞扬币
2511651
信誉值
8
只看楼主 更多操作 0 发表于: 2021-11-10
[font=-apple-system, BlinkMacSystemFont, &quot]样本信息[font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]木马概述[font=-apple-system, BlinkMacSystemFont, &quot]    此样本为 Nefilim 团伙勒索病毒,加密后缀为.MERIN,执行后会遍历操作系统中特定后缀文件进行加密,采用的加密算法为RSA。
[font=-apple-system, BlinkMacSystemFont, &quot]木马执行细节[font=-apple-system, BlinkMacSystemFont, &quot]Base64解密恶意字符串[font=-apple-system, BlinkMacSystemFont, &quot]    样本中的恶意字符串都存在Base64加密,以此绕过静态分析。[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]初始化CNG[font=-apple-system, BlinkMacSystemFont, &quot]    从这里可以看出样本对文件的加密方式为非对称加密:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]导入密钥对[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]确定磁盘类型[font=-apple-system, BlinkMacSystemFont, &quot]    从A盘开始循环遍历:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]创建线程遍历目录创建勒索文本并对文件进行加密[font=-apple-system, BlinkMacSystemFont, &quot]    如果找到有效磁盘则创建线程:[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    遍历目录创建勒索文本[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    判断文件后缀[font=-apple-system, BlinkMacSystemFont, &quot]        加密时略过以下后缀:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]    加密文件[font=-apple-system, BlinkMacSystemFont, &quot]        ① 首先生成2个随机数:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ② 对生成的2个随机数进行RSA加密,并储存在申请的内存当中,大小均为0x100个字节:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ③ 文件末尾写入第一个随机数加密后的0x100字节:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ④ 文件末尾追加第二个随机数加密后的0x100字节:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ⑤ 文件末尾加5字节 ”MERIN”:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ⑥ 加密文件内容:[font=-apple-system, BlinkMacSystemFont, &quot]        首先读取文件内容:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        调用其加密函数对文件内容进行加密:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        然后将加密后的内容写入文件:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]        ⑦ 最后在文件后缀上加上 .MERIN:[font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]         [font=-apple-system, BlinkMacSystemFont, &quot][font=-apple-system, BlinkMacSystemFont, &quot]加密后的文件结构[font=-apple-system, BlinkMacSystemFont, &quot]    [font=-apple-system, BlinkMacSystemFont, &quot]
[font=-apple-system, BlinkMacSystemFont, &quot]执行流程总结
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837479
飞翔币
228822
威望
224673
飞扬币
2467358
信誉值
0
只看该作者 1 发表于: 2021-11-12
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
837479
飞翔币
228822
威望
224673
飞扬币
2467358
信誉值
0
只看该作者 2 发表于: 2021-11-12
不错,了解了
回复 引用
举报
发帖 回复
« 返回列表