“黑猫”又伸出恶魔之手?解析BlackCat勒索病毒的三重勒索_muieblackcat扫描程序远程代码注入漏洞(1)

于 2024-04-18 19:56:33 发布
阅读量629 收藏 25
点赞数 17
分类专栏: 2024年程序员学习 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83974660/article/details/137935060
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

关联的组账号,并且检查TOKEN_GROUPS 中是否包含管理员组:

8、使用 net use 控制共享网络连接

9、枚举文件

防御规避

该样本为了避免数据的恢复及取证溯源工作,做了如下的工作:

1、该样本使用了 TLS 回调函数

2、命令行参数启动

该样本通过 GetCommandLineW 函数获取该程序的命令行参数

3、关闭某些进程和服务

为了尽可能多得加密文件,避免文件被占用,勒索程序还会关闭一些进程和服务。配置中设置了需要关闭的进程列表和服务列表:

(1)关闭服务

调用 OpenScManagerW 查询服务控制管理数据库

枚举服务存活状态的服务 (0x1 = SERVICE_ACTIV

最低0.47元/天 解锁文章
2401_83974660
关注
  • 17
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LINUX驱动之块设备驱动
qq_41936794的博客
04-25 416
1 前言 在LINUX内核中,I/O设备大致分为两类:块设备和字符设备,块设备将信息存储在固定大小的块中,每一块都有自己的地址,数据块的大小通常在512字节到4K字节之间.块设备的基本特征就是每个块都能独立于其他块而读写,磁盘就是最常见的块设备,在linux内核中,块设备与内核其他模块的关系如下图所示 结合上图,将这个过程简述如下 1.当一个用户程序要向磁盘写数据时,将发出一个write()系统...
360数字安全:2024年2月勒索软件流行态势分析报告
最新发布
06-08
勒索软件传播至今,360反勒索服务已累计接收到数万勒索软件感染求助。随着新型勒索软件的快速蔓延,企业数据泄露风险不断上升, 勒索...此漏洞已被广泛用于网络攻击,已知使用该漏洞勒索软件家族还有ALPHV/Blackcat
大过年的,服务器感染上了Nemesis复仇女神勒索病毒……
Mculover666的博客(嵌入式)
01-30 4045
一切事情源于昨天的修改密码……wuwuwu 昨天用VSCode+SSH扩展登录服务器写代码时,嫌弃之前设置的SSH登录密码复杂,所以设置成了“123456”,这个密码用着是真的爽,结果没想到,这是万恶之源。 今天早上一觉睡醒来看见腾讯云助手给我发了一堆消息: 这就是传说中的服务器被人r了???赶紧看看我的网站还正常不??? 哈哈,网站还正常,没什么大事,接着睡觉!越睡越睡不着,这人干啥的?为什...
应急响应-勒索病毒典型处置案例
qq_50765147的博客
02-04 1168
服务器感染Globelmposter勒索病毒 事件背景 2020年5月,某公司内外服务器遭遇勒索病毒攻击,应急响应工程师在抵达现场后,对包含服务器在内的13太机器进行系统排查和日志分析。 事件处置 勒索病毒初步判定 首先,对其中一台感染勒索病毒的主机A(源地址为192.168.111.129)进行排查,通过勒索信确认为GlobeImposter勒索病毒,如图所示。 在本地桌面及磁盘发现加密文件后缀为.RESERVE,如图所示。 系统排查 主机账号 通过
黑猫”又伸出恶魔之手解析BlackCat勒索病毒三重勒索
wangluo12138的博客
01-31 1007
BlackCat 是第一个广为人知的用 Rust编写的勒索病毒
注意一下!针对家庭路由器的威胁攻击增加了5倍
程序员二黑
02-02 411
针对消费者级路由器的网络攻击数量急剧增加,其中多是在教育、建筑和生物技术等领域,原因是在我们日常使用中,这些领域的路由器分布高度集中,且数据传输密集。
WordPress主题(黑猫Blackcat付费会员制资源站
04-16
Blackcat-付费会员制WordPress资源站主题,该主题是基于简约实用的主题选项框架 Codestar Framework 进行开发的功能强大的付费会员制主题,该主题尤其适合用于搭建付费下载资源网站,比如素材站、软件站、视频教程站...
主题(黑猫Blackcat付费会员制资源站.txt
03-04
主题(黑猫Blackcat付费会员制资源站
blackcat_website
03-27
"blackcat_website"项目似乎是一个基于JavaScript的网站开发项目,主要文件名为"blackcat_website-main"。这个项目可能是一个个人或团队为了展示其技术能力、创建一个特定功能的网站或者是一个教学示例而构建的。...
主题(黑猫Blackcat付费会员制资源站源码.txt
03-04
主题(黑猫Blackcat付费会员制资源站源码
CryptGenRandom windows下生成随机数
10-02
CryptGenRandom windows下生成随机数的函数使用
OpenSSL v0.9.8a随机数发生器分析(合集)
云与山的彼端
10-30 1万+
OpenSSL随机数发生器 本文档对OpenSSL使用的随机数进行研究分析,主要涉及OpenSSL v0.9.8a的随机数发生器以及其在Windows系统下的熵源采集情况。 目录 1. 概况... 1 1.1 OpenSSL随机数发生器概况... 1 1.2 OpenSSL 0.9.8a的随机数发生器概述... 2 2. 随机数发生器内部状态... 3 3. 函数说明... 4...
盘点世界十大著名黑客攻击事件
2201_75362610的博客
03-10 7348
为什么把熊猫烧香病毒放在最后呢,因为小编对对熊猫烧香病毒体会最深,相信在2006年-2007年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒,2007年1月初开始肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它 计算机程序、系统破坏严重。该病毒在很短的时间内就袭击了全球无以数计的电脑,并且,它还是个很挑食的病毒,专喜欢那些具有高价值IT资源的电脑系统:比如美国国安部门、CIA、英国国会等政府机构、股票经纪及那些著名的跨国公司等。知识,对于网络已经很依赖的你是非常有裨益的。
【盘点世界十大著名黑客攻击事件】
Technology_77的博客
09-06 904
为什么把熊猫烧香病毒放在最后呢,因为小编对对熊猫烧香病毒体会最深,相信在2006年-2007年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒,2007年1月初开始肆虐网络,它主要通过下载的档案传染,受到感染的机器文件因为被误携带间接对其它 计算机程序、系统破坏严重。直到1999年3月,梅利莎登上了全球报纸的头版。该病毒在很短的时间内就袭击了全球无以数计的电脑,并且,它还是个很挑食的病毒,专喜欢那些具有高价值IT资源的电脑系统:比如美国国安部门、CIA、英国国会等政府机构、股票经纪及那些著名的跨国公司等。
2021CTF工业信息安全技能大赛-被加密的系统日志
qq_43264813的博客
07-01 1772
2021CTF工业信息安全技能大赛-被加密的系统日志 某日公司车间部分上位机软件无法运行,网络安全工程师小吕怀疑机器感染了勒索病毒,小吕想通过恢复系统日志进一步确认病毒感染时间,你能帮助小吕将日志恢复出来吗?flag格式为:flag{}。 二、解题步骤 1.解压拿到文件根据内容分析可能是被勒索病毒所加密,使用BDGandCrabDecryptTool进行破解 2.破解拿到一个日志文件,使用note++打开过滤flag ...
OpenSSL v0.9.8a随机数发生器分析之三——熵采集
热门推荐
云与山的彼端
10-29 2万+
4. 熵采集 熵采集函数为RAND_poll,它在不同操作系统下使用不同的熵源产生方式,Windows下的代码见.\crypto\rand\rand_win.c。 此外,不同的OpenSSL版本中其熵采集方式也有较大出入。 OpenSSL版本 熵采集 v0.9.8a 使用了大量的各种信息,详情见本章后续部分。 ...
Rust编码的信息窃取恶意软件源代码公布,专家警告已被利用
ALLEN'Blog
02-10 910
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
http.sys远程代码注入漏洞
AnywayC9的专栏
07-05 1万+
http.sys是一个位于Win2003和WinXP SP2中的操作系统核心组件,能够让任何应用程序通过它提供的接口,以http协议进行信息通讯。 主要存在于在Windows+IIS环境下,影响了包括Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1 和 Windows Server 2012
网路安全远程代码执行漏洞
qq_52074678的博客
05-11 3163
一。什么是远程代码执行? 远程代码执行:Remote Code Execute 后台有时候也会把用户的输入作为代码的一部分进行执行,也就造成了远程代码执行漏洞,不管是使用了代码执行的函数,还是使用了不安全的反序列化等等。 因此,如果需要给前端用户提供操作类的接口,一定需要对接口输入的内容进行严格的判断,比如实施严格的白名单策略会是一个比较好的方法 远程命令执行:Remote Command Execute 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对
Java练习题,创建一个猫类,然后分别创建三只猫的对象,分别是黑猫,白猫,黄猫,让三只猫都去捉老鼠
06-02
好的,我来为你解答这个Java练习题。 首先,我们需要创建一个猫类,并添加猫的颜色属性。代码如下: ```java public class Cat { private String color; public Cat(String color) { this.color = color; } public void catchMouse() { System.out.println(color + "猫抓老鼠"); } } ``` 然后,我们可以创建三只不同颜色的猫的对象,代码如下: ```java public class Main { public static void main(String[] args) { Cat blackCat = new Cat("黑"); Cat whiteCat = new Cat("白"); Cat yellowCat = new Cat("黄"); blackCat.catchMouse(); whiteCat.catchMouse(); yellowCat.catchMouse(); } } ``` 运行上面的代码,就可以看到三只不同颜色的猫都在抓老鼠了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值