我差一点就中了Magniber勒索病毒

前言

勒索攻击已经成为了全球最大的网络威胁,越来越多的黑客组织开始加入到勒索病毒攻击活动,目前勒索病毒黑客组织大致可以分为两类,一类攻击目标主要以TO C(个人)为主,一类攻击目标主要以TO B(企业)为主,前者的勒索金额主要为几百美元到几万美元不等,后面的勒索金额主要为几十万美元到几千万美元为主,前者的攻击手法以捆绑伪装其它程序为主,后者的攻击手法以APT定向攻击手法为主,笔者在之前的文章都已经详细讲解过这些攻击手法,可以预见,未来几年勒索病毒攻击仍然是全球最大的网络威胁,同时未来几年不管是针对TO C,还是针对TO B的攻击都会越来越流行,个人和企业都要提高安全意识,目前大部分主流勒索病毒都是无法解密的,以防为主。

笔者在某油管视频下载网站上下载一个网络安全学习视频的时候,突然弹出一个网页,给我下载了一个Windows更新程序,如下所示:

URL为:hxxps://hortel.info/clickid=17287,下载显示为Windows10-11系统更新程序,本来打算安装更新程序,正好联想到前段时间Magniber勒索病毒通过Windows更新程序传播感染受害者,并带有有效数字签名,对该MSI更新安装程序进行了分析,发现果然是Magniber勒索病毒程序,还好长了一个心眼,没有直接点击安装,不然就中招了,现在勒索病毒真的是无处不在、无孔不入啊,全球基本上每天都有企业或个人中招,一定要提高安全意识。

既然这个勒索病毒的最新变种被我遇到了,那正好分析一下,看看这个勒索病毒黑客组织最近在玩些什么套路,很可能还会有其他人会遇到,同时给大家提个醒,不管是软件安装程序,系统更新程序,漏洞补丁程序,或者其他人发给你的程序或文档,都不要随意安装或打开,安全意识真的很重要,一定要到正规的官方指定的网站下载安装。

分析

1.下载的安装程序,时间为2022年5月3日3:55分更新的,如下所示:

2.解析MSI安装程序的相关信息,如下所示:

3.解包MSI安装程序,如下所示:

4.安装程序的InstallExecuteSequence.idt文件,发现一个可疑的安装u13n05fpc4,如下所示:

5.u13n05fpc4是安装的什么呢?查看自定义安装CustomAction.idt文件,如下所示:

6.安装加载hj8i35ab程序,通过解包MSI安装程序,得到hj8i35ab程序,如下所示:

7.hj8i35ab是一个恶意DLL程序,其导出函数为e65nrd8nai,如下所示:

8.动态调试该DLL,如下所示:

9.在内存中解密出整个shellcode代码,如下所示:

10.执行上面的shellcode代码,将其中的一段shellcode代码注入到svchost进程,注入的shellcode代码,如下所示:

11.在C:\Users\Public目录下生成XML恶意脚本文件,如下所示:

脚本内容,如下所示:

12.再生成第二个脚本文件,如下所示:

脚本内容,如下所示:

然后调用regsvr32.exe程序,执行恶意脚本,如下所示:

shellcode恶意代码会启动fodhelper.exe和compmgmtlauncher.exe,然后注入启动一段shellcode恶意代码,如下所示:

13.生成加密后的文件后缀名amcqeuig,如下所示:

排除一些不加密的文件目录,如下所示:

加密文件过程,如下所示:

14.加密后的文件,如下所示:

15.弹出的勒索提示信息,如下所示:

16.点击进入之后,如下所示:

17.生成的勒索提示信息文件内容,如下所示:

18.使用TOR浏览器打开该勒索病毒暗网URL之后,如下所示:

聊天信息窗口,如下所示:

好了,该勒索病毒黑客组织的最新变种基本就分析完了,通过分析发现该勒索病毒应该是一个技术相对成熟的黑客组织开发并维护的,该勒索病毒从最开始被发现到现在已经有好几个版本的变种样本,而且所有的函数都是使用系统调用的方式执行,有兴趣的朋友可以详细分析研究一下该勒索病毒的几个变种版本。

总结

还好笔者平时一直在关注各种流行恶意软件的攻击活动,同时安全意识相对也比较高,不然可能就真中招了,哈哈哈哈。

笔者曾深度跟踪和研究过上百种主流的勒索病毒黑客组织,现在勒索病毒攻击手法多种多样,并且通过之前跟踪的一些大型的勒索病毒黑客组织的攻击活动,可以发现勒索病毒黑客组织APT式定向化勒索攻击的技术手段越来越高,APT式定向勒索攻击会成为未来针对企业进行勒索攻击的主流方式,同时针对个人的勒索攻击也在逐步流行,勒索病毒黑客组织无时无刻不在寻找着新的攻击目标,可以预测,勒索病毒攻击在未来几年仍然将是全球最大的网络威胁,不管是个人还是企业,一定要提高安全意识。

勒索病毒攻击技术已经越来越成熟与复杂,同时勒索病毒黑客组织RAAS平台化模式又让勒索攻击的成本越来越低,勒索攻击的暴利导致越来越多的大大小小的黑客组织都纷纷加入到勒索病毒攻击活动当中,更多勒索病毒攻击技术和手法,可以参考笔者之前的文章。

大家在下载一些软件的时候,一定要到正规的官方网站进行下载,同时要检测软件安装包的数字签名等信息是否完整且有效,现在各种新型恶意软件不断涌现,攻击手法多种多样,防不胜防,一定要提高安全意识,一不小心可能你的电脑就被植入了勒索、挖矿、APT木马后门、僵尸网络等。

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/674208.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C# CAD交互界面-自定义面板集(四)

运行环境 vs2022 c# cad2016 调试成功 一、引用 using Autodesk.AutoCAD.Runtime; using Autodesk.AutoCAD.Windows; using System.Windows.Forms; 二、程序说明 创建自定义面板集(PaletteSet)的C#命令方法实现。该方法名为CreatePalette&#xff…

Redis篇之持久化

一、为什么要进行持久化 Redis是一个基于内存的键值存储系统,但为了保证数据在服务器重启、故障等情况下不丢失。 二、应该怎么持久化 1.RDB持久化 (1)RDB是什么 RDB全称Redis Database Backup file(Redis数据备份文件&#xff…

流程引擎activiti、flowable、camunda简单介绍

市场上比较有名的开源流程引擎有osworkflow、jbpm、activiti、flowable、camunda。 其中:Jbpm4、Activiti、Flowable、camunda四个框架同宗同源,祖先都是Jbpm4,开发者只要用过其中一个框架,基本上就会用其它三个。 推荐使用camu…

C语言带颜色输出

我们在做函数API功能测试时或其他数据解析时,为了区分信息内容,可以给不同级别的输出加上不同的颜色,以方便查看。 如,我自己的一个项目中的显示效果: 这样做可以更加清晰的反应数据信息! 实现原理&#x…

07:Kubectl 命令详解|K8S资源对象管理|K8S集群管理(重难点)

Kubectl 命令详解|K8S资源对象管理|K8S集群管理 kubectl管理命令kubectl get 查询资源常用的排错命令kubectl run 创建容器 POD原理pod的生命周期 k8s资源对象管理资源文件使用资源文件管理对象Pod资源文件deploy资源文件 集群调度的规则扩容与缩减集群更…

网络分析仪的防护技巧

VNA的一些使用防护技巧,虽不全面,但非常实用: [1] 一定要使用正规接地的三相交流电源线缆进行供电,地线不可悬浮,并且,火线和零线不可反接; [2] 交流供电必须稳定,如220V供电&#x…

【Git版本控制 03】远程操作

目录 一、克隆远程仓库 二、推送远程仓库 三、拉取远程仓库 四、忽略特殊文件 五、命令配置别名 一、克隆远程仓库 Git是分布式版本控制系统,同⼀个Git仓库,可以分布到不同的机器上。怎么分布呢? 找⼀台电脑充当服务器的⻆⾊&#xff…

Elementplus报错 [ElOnlyChild] no valid child node found

报错描述&#xff1a;ElementPlusError: [ElOnlyChild] no valid child node found 问题复现&#xff08;随机例子&#xff09;&#xff1a; <el-popover placement"right" :width"400" trigger"click"><template #reference><e…

Spring Cloud使用ZooKeeper作为注册中心的示例

简单的Spring Cloud应用程序使用ZooKeeper作为注册中心的示例&#xff1a; 1.新建模块&#xff1a; 2.勾选依赖&#xff1a; 3.在pom.xml文件中做出部分修改及添加Spring Cloud Zookeeper 依赖版本&#xff1a; 完整pom文件 <?xml version"1.0" encoding&q…

SpringBoot之事务源码解析

首先事务是基于aop的&#xff0c;如果不了解aop的&#xff0c;建议先去看下我关于aop的文章: Spring之aop源码解析  先说结论&#xff0c;带着结论看源码。首先&#xff0c;在bean的生命周期中&#xff0c; 执行实例化前置增强&#xff0c;会加载所有切面并放入缓存&#xff0…

Centos 7.5 安装 NVM 详细步骤

NVM&#xff08;Node Version Manager&#xff09;是一个用于管理Node.js版本的工具&#xff0c;它可以让你轻松地在多个版本之间切换。NVM 通过下载和管理 Node.js 的多个版本&#xff0c;为用户提供了一种灵活的方式来使用不同版本的 Node.js。如果你需要更多关于NVM的信息&a…

1 月 Web3 游戏行业概览:市场实现空前增长

作者&#xff1a;lesleyfootprint.network 今年一月&#xff0c;区块链游戏领域迎来了爆发式增长&#xff0c;活跃用户的数量大幅提升。 区块链游戏不断融合 AI 技术&#xff0c;旨在提升玩家体验并扩大其服务范围&#xff0c;公链与游戏的兼容性问题也日渐受到重视。技术革新…

Python进阶--爬取下载人生格言(基于格言网的Python3爬虫)

目录 一、此处需要安装第三方库: 二、抓包分析及Python代码 1、打开人生格言网&#xff08;人生格言-人生格言大全_格言网&#xff09;进行抓包分析 2、请求模块的代码 3、抓包分析人生格言界面 4、获取各种类型的人生格言链接 5、获取下一页的链接 6、获取人生格言的…

canvas实现涂鸦画板功能

查看专栏目录 canvas实例应用100专栏&#xff0c;提供canvas的基础知识&#xff0c;高级动画&#xff0c;相关应用扩展等信息。canvas作为html的一部分&#xff0c;是图像图标地图可视化的一个重要的基础&#xff0c;学好了canvas&#xff0c;在其他的一些应用上将会起到非常重…

路由引入路由过滤排错

目录 排错网络拓扑图 排错需求 故障排错 故障一 故障二 故障三 排错网络拓扑图 排错需求 按照图示配置 IP 地址&#xff0c;总部和分支 A、分支 B 各自使用 loopback 口模拟业务网段公司业务流分为 A 流和 B 流&#xff0c;网段如图所示总部内部配置 OSPF 互通&#xff0…

《MySQL 简易速速上手小册》第2章:数据库设计最佳实践(2024 最新版)

文章目录 2.1 规划高效的数据库架构2.1.1 基础知识2.1.2 重点案例2.1.3 拓展案例 2.2 数据类型和表设计2.2.1 基础知识2.2.2 重点案例2.2.3 拓展案例 2.3 索引设计原则2.3.1 基础知识2.3.2 重点案例2.3.3 拓展案例 2.1 规划高效的数据库架构 在开启我们的数据库设计之旅之前&a…

【数据分享】1929-2023年全球站点的逐年平均风速(Shp\Excel\免费获取)

气象数据是在各项研究中都经常使用的数据&#xff0c;气象指标包括气温、风速、降水、能见度等指标&#xff0c;说到气象数据&#xff0c;最详细的气象数据是具体到气象监测站点的数据&#xff01; 有关气象指标的监测站点数据&#xff0c;之前我们分享过1929-2023年全球气象站…

Ubuntu 22 部署Zabbix 6.4

一、安装及配置postgresql sudo apt-get update sudo apt-get install postgresql postgresql-client 修改配置文件&#xff0c;配置远程访问&#xff1a;&#xff08;PostgreSQL安装路径下的data&#xff0c;也是安装时data的默认路径&#xff09;data目录下的 pg_hba.conf …

大数据 - Spark系列《五》- Spark常用算子

Spark系列文章&#xff1a; 大数据 - Spark系列《一》- 从Hadoop到Spark&#xff1a;大数据计算引擎的演进-CSDN博客 大数据 - Spark系列《二》- 关于Spark在Idea中的一些常用配置-CSDN博客 大数据 - Spark系列《三》- 加载各种数据源创建RDD-CSDN博客 大数据 - Spark系列《…

实践个人知识管理的3件事 | 知识管理

太久没有写文章&#xff0c;虽说这段时间积累得不少&#xff0c;可说得很多&#xff0c;但确实有点儿“不知道该从何说起”的困惑&#xff0c;总感觉说啥都接不上之前的话茬儿……sigh&#xff0c;没事儿&#xff0c;就当是瞎聊天儿吧。 话说&#xff0c;最近帮朋友实践和落地个…