其他
GlobeImposter3.0 勒索分析
本文为看雪论坛优秀文章
看雪论坛作者ID:顾何
首先访问https://app.any.run/,然后点击又下角的trojan。
分析完成了,说一下木马特点:RSA加密,私钥在攻击者手里,所以被加密的文件在没有私钥的情况下无法解密。加密完成后会删除卷影备份以及登录信息
在网络隔离环境分析,即卸载了虚拟机网卡。
分析一个新的木马,可以在拖入木马到虚拟机后创建一个干净快照,方便恢复创建了快照之后,可以直接运行一下这个勒索得到如下结果:
行为检测
发现木马首先会将自身拷贝到%LOCALAPPDATA%路径中。
IDA静态分析
然后调用了sub_408B19函数,参数分别为MultiByteStr和sub_4017E8
查看了一下sub_408B19函数,貌似是解密函数。
通过动态调试发现的确是解密函数,MultiByteStr解密出来就是加密后缀名.Snake4444。
在else分支中,可以看到最后是一个关键的wireFile。而前面的函数通过静态分析暂时还没有得到有用的信息,于是使用x64dbg调试。
成功创建文件,文件名是黑客的公钥信息。
所以这里是将用户ID、public路径名、加密后缀、勒索提示文件名作为参数传进来了。
跟进到40A116函数,根据rsa_genkey关键字可以大概得知,该函数是用于生成RSA秘钥对的。
外层wireFile写入的时候,参数2的ebp指向的就是经过加密的用户ID的内存:
第一行是内层函数里面写入的随机生成RSA公钥信息,第二行是刚才写入的加密后的用户ID。
直接在创建线程的地方下断点,F9过来:
先看一下原始桌面:
看样子就是创建并执行了一个bat文件,动态调试去拿到这个bat文件。
看雪ID:顾何
https://bbs.pediy.com/user-757351.htm
推荐文章++++