-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2025-05-02
- 在线时间18636小时
-
- 发帖786303
- 搜Ta的帖子
- 精华0
- 飞翔币211574
- 威望215717
- 飞扬币2615136
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 786303
- 飞翔币
- 211574
- 威望
- 215717
- 飞扬币
- 2615136
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "]样本信息 [font=-apple-system, BlinkMacSystemFont, "]
[font=-apple-system, BlinkMacSystemFont, "]木马概述[font=-apple-system, BlinkMacSystemFont, "] 此样本为 Nefilim 团伙勒索病毒,加密后缀为.MERIN,执行后会遍历操作系统中特定后缀文件进行加密,采用的加密算法为RSA。
[font=-apple-system, BlinkMacSystemFont, "]木马执行细节[font=-apple-system, BlinkMacSystemFont, "]Base64解密恶意字符串[font=-apple-system, BlinkMacSystemFont, "] 样本中的恶意字符串都存在Base64加密,以此绕过静态分析。[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]初始化CNG[font=-apple-system, BlinkMacSystemFont, "] 从这里可以看出样本对文件的加密方式为非对称加密:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]导入密钥对[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]确定磁盘类型[font=-apple-system, BlinkMacSystemFont, "] 从A盘开始循环遍历:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]创建线程遍历目录创建勒索文本并对文件进行加密[font=-apple-system, BlinkMacSystemFont, "] 如果找到有效磁盘则创建线程:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] 遍历目录创建勒索文本[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] 判断文件后缀[font=-apple-system, BlinkMacSystemFont, "] 加密时略过以下后缀:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] 加密文件[font=-apple-system, BlinkMacSystemFont, "] ① 首先生成2个随机数:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ② 对生成的2个随机数进行RSA加密,并储存在申请的内存当中,大小均为0x100个字节:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ③ 文件末尾写入第一个随机数加密后的0x100字节:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ④ 文件末尾追加第二个随机数加密后的0x100字节:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ⑤ 文件末尾加5字节 ”MERIN”:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ⑥ 加密文件内容:[font=-apple-system, BlinkMacSystemFont, "] 首先读取文件内容:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] 调用其加密函数对文件内容进行加密:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] 然后将加密后的内容写入文件:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "] ⑦ 最后在文件后缀上加上 .MERIN:[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]加密后的文件结构[font=-apple-system, BlinkMacSystemFont, "]  [font=-apple-system, BlinkMacSystemFont, "]
[font=-apple-system, BlinkMacSystemFont, "]执行流程总结
|
