频道栏目
首页 > 安全 > 网络安全 > 正文

网络安全之新型敲诈者分析

2016-11-29 15:03:43           
收藏   我要投稿

0x03 ShellCode执行

解出勒索者本体

3.1 双层异或算法解密出执行代码

http://p9.qhimg.com/t012aa26060d39d9d8a.png

图9 ShellCode解密部分

http://p0.qhimg.com/t01e97d43be7e534c5e.png

图10 ShellCode解密算法

3.2 动态获取API并利用INT 2E调用相关API

通过API名字的hash值获取函数地址:

http://p1.qhimg.com/t01c9bf9189b0fd49b6.png

图11获取函数地址

获取的具体函数如下:

http://p8.qhimg.com/t016589be1c608bf2c0.png

图12获取函数列表

利用INT 2E调用相关API:

http://p2.qhimg.com/t01a5c82a3d107f7eeb.png

图13利用INT 2E调用相关API

3.3 解出勒索者本体

http://p9.qhimg.com/t01f3573b311f947f8f.png

图14 Shellcode执行部分

http://p3.qhimg.com/t01b29999d981772d47.png

图15 解密勒索本体过程

从Ggm0KQEbU4UcJiEbNYAXOTz.jsiDbvtAQ8jS的偏移0x35处读取0xC7360字节的数据进行AES256解密。

密钥是通过文件名(UNICODE)的MD5生成的,以下是它的生成过程:

http://p3.qhimg.com/t01d4b1a07d0b0ad03a.png

图16 解密密钥生成

最后将解密之后的数据进行Zlib解压缩,得到勒索者本体:

http://p4.qhimg.com/t017dd7567e6fb69e5a.png

图17 解密得到的PE数据

3.4 执行勒索者

创建傀儡进程执行勒索者,宿主是安装包进程:

http://p6.qhimg.com/t011953704bb95ef6ac.png

图18 创建傀儡进程

0x04 勒索者本体

4.1 利用AES256解密出API名称,然后调用LoadLibrary和GetProcAddress动态获取API地址:

http://p0.qhimg.com/t017b5c3d44dbf1f8c1.png

图19 解密API名称

4.2 获取当前计算机名+处理器核数+系统所在卷序列号+系统版本并计算其MD5作为计算机特征码,并保存在注册表的xi值中。

http://p2.qhimg.com/t012a2940ae4db8d880.png

图20 计算机特征码生成算法

4.3 拷贝自身到C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe位置,并添加注册表自启:

http://p5.qhimg.com/t017ada17079368118a.png

图21 拷贝自身

http://p4.qhimg.com/t017c9fa68033623f92.png

图22 添加启动项

4.4 通过Tor网络匿名与服务器进行通讯:

http://p5.qhimg.com/t01eb278da46d42fe69.png

图23 与服务器通讯

4.5 生成的公钥及其相关的配置信息保存在注册表。

上一篇:使用dnx.exe绕过应用白名单
下一篇:网络攻击呈上升趋势 安全疲劳导致网络安全寒冬来了?
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站