DarkSide
前情
因为我主要是做APT分析,一般情况是不分析勒索的,而且普通的勒索分析了没太大意义,但是就是这次的美国被动进入紧急状态😂
好家伙,短时间多个国内安全厂商出动,一顿分析发布,被迫内卷,不卷就像报数没到一样
既然被迫分析了,那多少还是有点意义的,就从另一个角度思考一下怎么梳理面对陌生类型的逻辑
渗透逻辑——信息收集
这次分析算是时间紧任务重,这时候埋头深究技术是肯定不行的
勒索和其他病毒,我以前在15PB培训的时候分析过,做过一阵子威胁情报发布的时候也看过很多个勒索病毒的文章,这时候还是稍微有点头绪的
但是终究有天是要面对完全陌生的类型的,那么此时应该做什么呢?
我突然就想到了:
明确目标:勒索软件的大致逻辑,加解密原理和方案,同源思路
信息收集:勒索软件的分析报告
勒索软件
部分勒索软件在东欧不会执行,如果发现位置处于东欧或系统语言属于东欧语系,通常会自行终止。
为了提高加密软件速度,通常勒索软件会排除部分不重要的文件(文件路径,文件类型),关闭占用文件的进程和服务,然后遍历系统连接的驱动器和网络共享的文件,对大部分文件进行加密。
勒索软件会在每个文件夹和桌面下释放勒索信,并将桌面设置为勒索信息提示。文件被加密后会被命名为同一的勒索后缀名,通过注册表该后缀名的Ico图标为勒索软件的Logo。
上面这话虽然不多,但是没看其他报告的时候,还是挺懵的。
因为我不太喜欢截OD运行的图,太碎了,我喜欢截IDA的整块整块,这样报告看起来会干净很多。
还有一个原因是我面对的读者不是想吾爱破解一样的技术人员,更多的是一些客户或者其他的安服人员,他们对编程和OD参数的查看方式不太了解。
分析流程
先用在线沙箱看了一下都有什么行为,然后把虚拟机断网避免有些病毒可以虚拟机逃逸或者通过网络传播,火绒剑跑一下看有什么行为,具体的顺序(【重点】)是什么。
整个勒索流程大体是线性的逻辑:
0.解密函数
1.判断是否是东欧语言环境,是的话退出;(俄罗斯的黑产很发达,很多俄系的病毒不会对自己人下手,可以考虑改成东欧环境保平安)
2.生成ID(姑且就这么叫吧),即勒索后缀;
3.解密配置信息
4.加密
5.清理
目前我看到比较深入的资料《Darkside R
最低0.47元/天 解锁文章
843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
