超级会员免费看
LockBit
LOCKBIT检查进程控制块 (PEB)中的NtGlobalFlag字段,以检测是否正在调试恶意软件进程
使用FNV1A对每个名称(小写)进行哈希处理并与硬编码哈希进行比较,然后返回相应的 DLL 库
LockBit尝试通过修改自己的访问控制列表来限制对自己进程的访问
限制进程访问的流程
调用GetSecurityInfo来检索进程的安全描述符 ACL
调用RtlAllocateAndInitializeSid为EVERYONE 组分配和初始化具有SECURITY_WORLD_SID_AUTHORITY权限的 SID
它调用RtlQueryInformationAcl和RtlLengthSid来检索进程的 ACL 长度,计算新 ACL 的大小并为其分配一个虚拟缓冲区
用RtlCreateAcl创建新的 ACL 并调用RtlAddAccessDeniedAce为EVERYONE 组添加一个ACCESS_DENIED访问控制条目 (ACE) 到此 ACL使用上面新创建的 SID
调用RtlGetAce来遍历勒索软件进程的 ACL 中的每个 ACE
调用RtlAddAce将ACE 添加到新的 ACL 中
调用SetSecurityInfo将新 ACL 设置为自己的运行进程,从而拒绝每个人对其自身的访问
调用RtlAdjustPrivilege以启用SE_TAKE_OWNERSHIP_PRIVILEGE权限,以便以后能够在加密期间取得文件的所有权
调用NetGetDCName检索主域控制器的名称
调用WNetAddConnection2W建立与主机的直接连接,并调用NetShareEnum检索有关其共享资源的信息。
使用“DsRoleGetPrimaryDomainInformation”来确定运行它的设备是否是域控制器
AWS凭证盗窃
AWS CLI将凭证存储在〜/ .aws / credentials的未加密文件中,并将其他配置详细信息存储在〜/ .aws / config的文件中。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
