师出同门,勒索不休:GandCrab退役后SODINOKIBI登场-黑客接单平台

访客5年前黑客资讯629
2019年4月,Cybereason Nocturnus团队遇到了一种名为Sodinokibi(又叫Sodin、REvil)的新式勒索软件。Sobinokibi具有很强的隐蔽性,采纳了多种办法来防止检测。 Sodinokibi的作者疑似与另一勒索软件的作者——GandCrab有关。GandCrab是一款于近退役的勒索软件,因为其暗地团队称自己“已赚到了足够多的钱”。在曩昔的勒索软件事情中,全球有近40%的感染是由GandCrab形成的。假如这种相关是精确的,那么Sodinokibi可能有朝GandCrab为方针开展的潜质。 勒索软件对许多组织组织来说仍然是一个巨大的商业危险,像Sodinokibi和GandCrab这样的高躲避性勒索软件每年都会对它们形成高额的丢失。 在本文中,咱们将对Sodinokibi勒索软件进行深化的技能剖析,关键重视它的传递办法以及为防止AV检测而采纳的防护机制。 关键 · 大多Sodinokibi前期突击事情都发生在亚洲,最近进犯有转移到欧洲的趋势。 · Sodinokibi前期运用的是中小企业服务器或是其它一些基础设施中的缝隙,跟着时刻的推移,咱们还看到了其它的感染前言,比方 *** 垂钓和缝隙运用工具包。 · 查询进程中咱们还发现:Sodinokibi会在受感染的机器中搜索由韩国安全供货商“Ahnlab”制造的AV产品,并注入其payload。 · 在这项研讨中,有依据标明Sodinokibi勒索软件是由GandCrab团队开发的。 介绍 Sodinokibi于本年4月底初次发现,其时是经过运用Oracle WebLogic缝隙(CVE-2019-2725)安装在方针核算机上的,随后才开端经过缝隙运用工具包和垃圾邮件进行传达。 Sodinokibi能阻挠用户对方针机器数据的拜访,使公司组织彻底损失事务才干。到目前为止,它还没有自我传达的才干,但一旦完成,其影响可能会扩展到整个 *** 。 这个歹意软件也显现了勒索软件的复苏痕迹,虽然有陈述阐明,当时勒索软件的进犯事情正在削减,但咱们看到这个局势仍是不容忽视的,并且在本年第二季度,勒索软件均匀赎金的额度现已翻了一番。公司组织都需求强壮的安全产品,在面临此类进犯时才干镇定自若。 要挟剖析 Sodinokibi暗地黑手运用的初始感染前言是带有歹意链接的垂钓邮件。点击后,会下载一个看似合法的zip文件。VirusTotal对该zip文件的检测率十分低,标明大多数安全厂商都没有将其初始payload符号。因为Sodinokibi的初始payload未被检测到,因此能绕过大多组织组织的之一层防护。 图1.VirusTotal上,Sodinokibi对该zip文件检测率 该zip文件里边是一个混杂的JavaScript文件,当用户双击后会被WScript履行。 图2.WScript履行歹意JavaScript 图3.Cybereason解决方案中所示的之一阶段流程 此JavaScript文件经过重新排列内部名为eiculwo的列表中的字符,来消除本身的混杂。 图4.混杂的JavaScript文件的前半部分 坐落JavaScript文件中的变量vhtsxspmssj是一个混杂的PowerShell脚本,进犯者会在稍后的进犯中对其去混杂。 图5.去混杂的JavaScript文件 JavaScript文件对变量vhtsxspmssj进行反混杂处理,并将其保存在名为jurhtcbvj.tmp的目录中。 接着脚本会下载二级payload,不是将其嵌入到初始脚本中。 咱们遇到的数个歹意样本都是经过此脚本来下载二级payload,而不是将其嵌入到初始脚本中。 文件jurhtcbvj.tmp是一个填充了多个感叹号的PowerShell脚本,JavaScript文件经过发动PowerShell指令来删去其间的感叹号并履行此脚本。 图6.混杂的PowerShell脚本jurhtcbvj.tmp 图7.用于替换感叹号并履行PowerShell脚本的指令 接着jurhtcbvj.tmp解码另一个Base64编码的脚本并履行它。解码后的脚本包括一个.NET模块(也运用Base64编码),再将模块解码并加载到PowerShell进程内存中,一旦加载后,将履行Install1函数。 图8.模块test.dll加载到内存中 模块test.dll仅仅此交给进程的众多层之一。函数Install1里还包括了另一个用Base64编码的模块,Install1会解码此模块并将其加载到内存中。 图9.Base64编码模块Install1 [1][2][3]黑客接单网

相关文章

58黑客接单_zip破解

有电子邮件进犯2019年,咱们猜测网络违法分子针对内容管理体系注入歹意挖矿代码的活动会削减,而其他Web要挟会变得愈加遍及与常见,比如说Web skimmer。 有多种体系或软件的弱口令遭受进犯,这儿...

破解相册密码,手机黑客联系电话,找黑客解封滴滴

安卓手机一枚Zhu在10月底向谷歌安全团队陈述了这个缝隙,可是这个团队不认可她的缝隙陈述,回应说这个缝隙并不是安全问题。 POST: username=admin&password=,' do...

汕头黑客接单_驾驶证吊销 找网络黑客

一、简介有以下是咱们的fuzzer protobuf标准的片段: SelectCache select_cache = 3;汕头黑客接单,驾驶证吊销 找网络黑客 2012年,Dridex的研制团队发布...

黑客接单 百度知道_有没有人找黑客成功的

在这种办法中,给定一个种子文件 S1,随机选取一个种子文件 S2,在 S2 中随机选取一个 chunk C2,将 C2 刺进到 S1 中和 C2 具有相同父节点的 chunk C1 的后边(C1.pa...

漏洞扫描技巧之Web漏洞扫描器研究-黑客接单平台

0×00 前语 之前咱们简略介绍了一下扫描器中爬虫的部分,接下来将持续介绍一下扫描器中一些咱们以为比较风趣的技巧。 0×01 编码/解码/协议 在很久以前有人发问 AMF 格局的恳求怎样进行检测,或...

黑客QQ接单,怎么找黑客定位软件,找网络黑客高手

图13 在空中传达的GFSK电磁波(IQ制式) @代表刺进小写字母Cobalt Strike 一款以metasploit为基础的GUI的结构式浸透东西,集...