师出同门,勒索不休:GandCrab退役后SODINOKIBI登场-黑客接单平台

访客5年前黑客资讯634
2019年4月,Cybereason Nocturnus团队遇到了一种名为Sodinokibi(又叫Sodin、REvil)的新式勒索软件。Sobinokibi具有很强的隐蔽性,采纳了多种办法来防止检测。 Sodinokibi的作者疑似与另一勒索软件的作者——GandCrab有关。GandCrab是一款于近退役的勒索软件,因为其暗地团队称自己“已赚到了足够多的钱”。在曩昔的勒索软件事情中,全球有近40%的感染是由GandCrab形成的。假如这种相关是精确的,那么Sodinokibi可能有朝GandCrab为方针开展的潜质。 勒索软件对许多组织组织来说仍然是一个巨大的商业危险,像Sodinokibi和GandCrab这样的高躲避性勒索软件每年都会对它们形成高额的丢失。 在本文中,咱们将对Sodinokibi勒索软件进行深化的技能剖析,关键重视它的传递办法以及为防止AV检测而采纳的防护机制。 关键 · 大多Sodinokibi前期突击事情都发生在亚洲,最近进犯有转移到欧洲的趋势。 · Sodinokibi前期运用的是中小企业服务器或是其它一些基础设施中的缝隙,跟着时刻的推移,咱们还看到了其它的感染前言,比方 *** 垂钓和缝隙运用工具包。 · 查询进程中咱们还发现:Sodinokibi会在受感染的机器中搜索由韩国安全供货商“Ahnlab”制造的AV产品,并注入其payload。 · 在这项研讨中,有依据标明Sodinokibi勒索软件是由GandCrab团队开发的。 介绍 Sodinokibi于本年4月底初次发现,其时是经过运用Oracle WebLogic缝隙(CVE-2019-2725)安装在方针核算机上的,随后才开端经过缝隙运用工具包和垃圾邮件进行传达。 Sodinokibi能阻挠用户对方针机器数据的拜访,使公司组织彻底损失事务才干。到目前为止,它还没有自我传达的才干,但一旦完成,其影响可能会扩展到整个 *** 。 这个歹意软件也显现了勒索软件的复苏痕迹,虽然有陈述阐明,当时勒索软件的进犯事情正在削减,但咱们看到这个局势仍是不容忽视的,并且在本年第二季度,勒索软件均匀赎金的额度现已翻了一番。公司组织都需求强壮的安全产品,在面临此类进犯时才干镇定自若。 要挟剖析 Sodinokibi暗地黑手运用的初始感染前言是带有歹意链接的垂钓邮件。点击后,会下载一个看似合法的zip文件。VirusTotal对该zip文件的检测率十分低,标明大多数安全厂商都没有将其初始payload符号。因为Sodinokibi的初始payload未被检测到,因此能绕过大多组织组织的之一层防护。 图1.VirusTotal上,Sodinokibi对该zip文件检测率 该zip文件里边是一个混杂的JavaScript文件,当用户双击后会被WScript履行。 图2.WScript履行歹意JavaScript 图3.Cybereason解决方案中所示的之一阶段流程 此JavaScript文件经过重新排列内部名为eiculwo的列表中的字符,来消除本身的混杂。 图4.混杂的JavaScript文件的前半部分 坐落JavaScript文件中的变量vhtsxspmssj是一个混杂的PowerShell脚本,进犯者会在稍后的进犯中对其去混杂。 图5.去混杂的JavaScript文件 JavaScript文件对变量vhtsxspmssj进行反混杂处理,并将其保存在名为jurhtcbvj.tmp的目录中。 接着脚本会下载二级payload,不是将其嵌入到初始脚本中。 咱们遇到的数个歹意样本都是经过此脚本来下载二级payload,而不是将其嵌入到初始脚本中。 文件jurhtcbvj.tmp是一个填充了多个感叹号的PowerShell脚本,JavaScript文件经过发动PowerShell指令来删去其间的感叹号并履行此脚本。 图6.混杂的PowerShell脚本jurhtcbvj.tmp 图7.用于替换感叹号并履行PowerShell脚本的指令 接着jurhtcbvj.tmp解码另一个Base64编码的脚本并履行它。解码后的脚本包括一个.NET模块(也运用Base64编码),再将模块解码并加载到PowerShell进程内存中,一旦加载后,将履行Install1函数。 图8.模块test.dll加载到内存中 模块test.dll仅仅此交给进程的众多层之一。函数Install1里还包括了另一个用Base64编码的模块,Install1会解码此模块并将其加载到内存中。 图9.Base64编码模块Install1 [1][2][3]黑客接单网

相关文章

全国最大诚信黑客接单_找黑客销违章-网赌找黑客追钱可信吗

「全国最大诚信黑客接单_找黑客销违章-网赌找黑客追钱可信吗」这个古怪的现象尽管不会影响射频的功用,仅仅多了一些冗余数据,但却成了咱们得到遥控器跳频序列的打破点,实实在在的构成了一个信息走漏缝隙。 假如...

一文看懂认证安全问题总结篇-黑客接单平台

研讨认证相关的安全问题也有一段实践了,今日就对认证相关的安全问题做个总结。其间涉及到一些前置概念这儿无法逐一解说,能够在相关RFC文档或许链接中深化阅览,笔者现已把相关材料收拾收录在参阅链接。本文更多...

同源战略详解及绕过

浏览器有一个很重要的概念——同源战略(Same-Origin Policy)。所谓同源是指,域名,协议,端口相同。不同源的客户端脚本(javascript、ActionScript)在没清晰授权的情况...

老公赌博被关半年回来了,被关了我才知道他欠了信

DC* when it's safe in the single Listen case.9、2019年9月7日https://portal.msrc.microsoft.com/en-US/secu...

怎么自学编程,找黑客上哪里找,电脑黑客怎么找

网络安全是环绕“缝隙”打开的,针对缝隙的捕捉、运用、修补构成了黑客的江湖。 那些功成名就、挖洞很多的大佬回想自己走过的路,多少都有些李寻欢站在关外雪原回想自已终身兵马征途的感觉。 public cla...

公民身份证号码查询服务中心,如何找黑客破解密码软件,看门狗1找黑客

/// <param name="context"></param> a)导出Burp Suite根证书Desc: Please checkin at IRC...