我差一点就中了Magniber勒索病毒

前言

勒索攻击已经成为了全球最大的网络威胁,越来越多的黑客组织开始加入到勒索病毒攻击活动,目前勒索病毒黑客组织大致可以分为两类,一类攻击目标主要以TO C(个人)为主,一类攻击目标主要以TO B(企业)为主,前者的勒索金额主要为几百美元到几万美元不等,后面的勒索金额主要为几十万美元到几千万美元为主,前者的攻击手法以捆绑伪装其它程序为主,后者的攻击手法以APT定向攻击手法为主,笔者在之前的文章都已经详细讲解过这些攻击手法,可以预见,未来几年勒索病毒攻击仍然是全球最大的网络威胁,同时未来几年不管是针对TO C,还是针对TO B的攻击都会越来越流行,个人和企业都要提高安全意识,目前大部分主流勒索病毒都是无法解密的,以防为主。

笔者在某油管视频下载网站上下载一个网络安全学习视频的时候,突然弹出一个网页,给我下载了一个Windows更新程序,如下所示:

URL为:hxxps://hortel.info/clickid=17287,下载显示为Windows10-11系统更新程序,本来打算安装更新程序,正好联想到前段时间Magniber勒索病毒通过Windows更新程序传播感染受害者,并带有有效数字签名,对该MSI更新安装程序进行了分析,发现果然是Magniber勒索病毒程序,还好长了一个心眼,没有直接点击安装,不然就中招了,现在勒索病毒真的是无处不在、无孔不入啊,全球基本上每天都有企业或个人中招,一定要提高安全意识。

既然这个勒索病毒的最新变种被我遇到了,那正好分析一下,看看这个勒索病毒黑客组织最近在玩些什么套路,很可能还会有其他人会遇到,同时给大家提个醒,不管是软件安装程序,系统更新程序,漏洞补丁程序,或者其他人发给你的程序或文档,都不要随意安装或打开,安全意识真的很重要,一定要到正规的官方指定的网站下载安装。

分析

1.下载的安装程序,时间为2022年5月3日3:55分更新的,如下所示:

2.解析MSI安装程序的相关信息,如下所示:

3.解包MSI安装程序,如下所示:

4.安装程序的InstallExecuteSequence.idt文件,发现一个可疑的安装u13n05fpc4,如下所示:

5.u13n05fpc4是安装的什么呢?查看自定义安装CustomAction.idt文件,如下所示:

6.安装加载hj8i35ab程序,通过解包MSI安装程序,得到hj8i35ab程序,如下所示:

7.hj8i35ab是一个恶意DLL程序,其导出函数为e65nrd8nai,如下所示:

8.动态调试该DLL,如下所示:

9.在内存中解密出整个shellcode代码,如下所示:

10.执行上面的shellcode代码,将其中的一段shellcode代码注入到svchost进程,注入的shellcode代码,如下所示:

11.在C:\Users\Public目录下生成XML恶意脚本文件,如下所示:

脚本内容,如下所示:

12.再生成第二个脚本文件,如下所示:

脚本内容,如下所示:

然后调用regsvr32.exe程序,执行恶意脚本,如下所示:

shellcode恶意代码会启动fodhelper.exe和compmgmtlauncher.exe,然后注入启动一段shellcode恶意代码,如下所示:

13.生成加密后的文件后缀名amcqeuig,如下所示:

排除一些不加密的文件目录,如下所示:

加密文件过程,如下所示:

14.加密后的文件,如下所示:

15.弹出的勒索提示信息,如下所示:

16.点击进入之后,如下所示:

17.生成的勒索提示信息文件内容,如下所示:

18.使用TOR浏览器打开该勒索病毒暗网URL之后,如下所示:

聊天信息窗口,如下所示:

好了,该勒索病毒黑客组织的最新变种基本就分析完了,通过分析发现该勒索病毒应该是一个技术相对成熟的黑客组织开发并维护的,该勒索病毒从最开始被发现到现在已经有好几个版本的变种样本,而且所有的函数都是使用系统调用的方式执行,有兴趣的朋友可以详细分析研究一下该勒索病毒的几个变种版本。

总结

还好笔者平时一直在关注各种流行恶意软件的攻击活动,同时安全意识相对也比较高,不然可能就真中招了,哈哈哈哈。

笔者曾深度跟踪和研究过上百种主流的勒索病毒黑客组织,现在勒索病毒攻击手法多种多样,并且通过之前跟踪的一些大型的勒索病毒黑客组织的攻击活动,可以发现勒索病毒黑客组织APT式定向化勒索攻击的技术手段越来越高,APT式定向勒索攻击会成为未来针对企业进行勒索攻击的主流方式,同时针对个人的勒索攻击也在逐步流行,勒索病毒黑客组织无时无刻不在寻找着新的攻击目标,可以预测,勒索病毒攻击在未来几年仍然将是全球最大的网络威胁,不管是个人还是企业,一定要提高安全意识。

勒索病毒攻击技术已经越来越成熟与复杂,同时勒索病毒黑客组织RAAS平台化模式又让勒索攻击的成本越来越低,勒索攻击的暴利导致越来越多的大大小小的黑客组织都纷纷加入到勒索病毒攻击活动当中,更多勒索病毒攻击技术和手法,可以参考笔者之前的文章。

大家在下载一些软件的时候,一定要到正规的官方网站进行下载,同时要检测软件安装包的数字签名等信息是否完整且有效,现在各种新型恶意软件不断涌现,攻击手法多种多样,防不胜防,一定要提高安全意识,一不小心可能你的电脑就被植入了勒索、挖矿、APT木马后门、僵尸网络等。

做安全,不忘初心,与时俱进,方得始终!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/674208.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C# CAD交互界面-自定义面板集(四)

运行环境 vs2022 c# cad2016 调试成功 一、引用 using Autodesk.AutoCAD.Runtime; using Autodesk.AutoCAD.Windows; using System.Windows.Forms; 二、程序说明 创建自定义面板集(PaletteSet)的C#命令方法实现。该方法名为CreatePalette&#xff…

Redis篇之持久化

一、为什么要进行持久化 Redis是一个基于内存的键值存储系统,但为了保证数据在服务器重启、故障等情况下不丢失。 二、应该怎么持久化 1.RDB持久化 (1)RDB是什么 RDB全称Redis Database Backup file(Redis数据备份文件&#xff…

macOS虚拟机在VMware Workstation/Player上的详细安装与配置教程

一、准备工作 1. 确认兼容性 确保你的宿主机满足运行macOS虚拟机的要求: 操作系统:支持Windows或Linux(宿主机需64位操作系统)。硬件配置:足够的RAM(至少8GB推荐,安装Big Sur或更高版本建议1…

流程引擎activiti、flowable、camunda简单介绍

市场上比较有名的开源流程引擎有osworkflow、jbpm、activiti、flowable、camunda。 其中:Jbpm4、Activiti、Flowable、camunda四个框架同宗同源,祖先都是Jbpm4,开发者只要用过其中一个框架,基本上就会用其它三个。 推荐使用camu…

什么是集群服务器

近一段时间来,集群服务器被广大站长热议,所谓集群服务器就是指很多台服务器把它们集中在一起来进行同一种服务。集群服务器也可以由很多个的计算机并行去计算,这样可以获得非常高的计算速度,提升服务器整体的工作效. 其实我们都知…

【原创】MQTT开发笔记(四)- 压力测试

一、前言 Jmeter 是 apache 公司基于 java 开发的一款开源压力测试工具,体积小,功能全,使用方便,是一个比较轻量级的测试工具,使用起来非常简 单。因为 jmeter 是 java 开发的,所以运行的时候必须先要安装 …

2.7通过select、多进程、多线程实现一个并发服务器

select #include <myhead.h>#define PORT 8888 //端口号 #define IP "192.168.250.100" //IP地址int main(int argc, const char *argv[]) {//1、创建用于接受连接的套接字int sfd socket(AF_INET, SOCK_STREAM, 0);if(sfd -1){perror(&…

C语言带颜色输出

我们在做函数API功能测试时或其他数据解析时&#xff0c;为了区分信息内容&#xff0c;可以给不同级别的输出加上不同的颜色&#xff0c;以方便查看。 如&#xff0c;我自己的一个项目中的显示效果&#xff1a; 这样做可以更加清晰的反应数据信息&#xff01; 实现原理&#x…

07:Kubectl 命令详解|K8S资源对象管理|K8S集群管理(重难点)

Kubectl 命令详解&#xff5c;K8S资源对象管理&#xff5c;K8S集群管理 kubectl管理命令kubectl get 查询资源常用的排错命令kubectl run 创建容器 POD原理pod的生命周期 k8s资源对象管理资源文件使用资源文件管理对象Pod资源文件deploy资源文件 集群调度的规则扩容与缩减集群更…

网络分析仪的防护技巧

VNA的一些使用防护技巧&#xff0c;虽不全面&#xff0c;但非常实用&#xff1a; [1] 一定要使用正规接地的三相交流电源线缆进行供电&#xff0c;地线不可悬浮&#xff0c;并且&#xff0c;火线和零线不可反接&#xff1b; [2] 交流供电必须稳定&#xff0c;如220V供电&#x…

【Git版本控制 03】远程操作

目录 一、克隆远程仓库 二、推送远程仓库 三、拉取远程仓库 四、忽略特殊文件 五、命令配置别名 一、克隆远程仓库 Git是分布式版本控制系统&#xff0c;同⼀个Git仓库&#xff0c;可以分布到不同的机器上。怎么分布呢&#xff1f; 找⼀台电脑充当服务器的⻆⾊&#xff…

Elementplus报错 [ElOnlyChild] no valid child node found

报错描述&#xff1a;ElementPlusError: [ElOnlyChild] no valid child node found 问题复现&#xff08;随机例子&#xff09;&#xff1a; <el-popover placement"right" :width"400" trigger"click"><template #reference><e…

Spring Cloud使用ZooKeeper作为注册中心的示例

简单的Spring Cloud应用程序使用ZooKeeper作为注册中心的示例&#xff1a; 1.新建模块&#xff1a; 2.勾选依赖&#xff1a; 3.在pom.xml文件中做出部分修改及添加Spring Cloud Zookeeper 依赖版本&#xff1a; 完整pom文件 <?xml version"1.0" encoding&q…

已解决org.springframework.transaction.TransactionSystemException异常的正确解决方法,亲测有效!!!

已解决org.springframework.transaction.TransactionSystemException异常的正确解决方法&#xff0c;亲测有效&#xff01;&#xff01;&#xff01; 文章目录 问题分析 报错原因 解决思路 解决方法 总结 问题分析 org.springframework.transaction.TransactionSystemEx…

Android Studio六大基本布局的概览和每个布局的关键特性以及实例分析

1. 线性布局 (LinearLayout) 描述: 线性布局是一种按指定方向(水平或垂直)排列其子视图的布局容器。通过android:orientation属性可设置为horizontal或vertical。 关键属性: android:orientation: 指定布局方向。android:layout_weight: 子视图权重,用于分配剩余空间。示…

SpringBoot之事务源码解析

首先事务是基于aop的&#xff0c;如果不了解aop的&#xff0c;建议先去看下我关于aop的文章: Spring之aop源码解析  先说结论&#xff0c;带着结论看源码。首先&#xff0c;在bean的生命周期中&#xff0c; 执行实例化前置增强&#xff0c;会加载所有切面并放入缓存&#xff0…

Centos 7.5 安装 NVM 详细步骤

NVM&#xff08;Node Version Manager&#xff09;是一个用于管理Node.js版本的工具&#xff0c;它可以让你轻松地在多个版本之间切换。NVM 通过下载和管理 Node.js 的多个版本&#xff0c;为用户提供了一种灵活的方式来使用不同版本的 Node.js。如果你需要更多关于NVM的信息&a…

1 月 Web3 游戏行业概览:市场实现空前增长

作者&#xff1a;lesleyfootprint.network 今年一月&#xff0c;区块链游戏领域迎来了爆发式增长&#xff0c;活跃用户的数量大幅提升。 区块链游戏不断融合 AI 技术&#xff0c;旨在提升玩家体验并扩大其服务范围&#xff0c;公链与游戏的兼容性问题也日渐受到重视。技术革新…

Python进阶--爬取下载人生格言(基于格言网的Python3爬虫)

目录 一、此处需要安装第三方库: 二、抓包分析及Python代码 1、打开人生格言网&#xff08;人生格言-人生格言大全_格言网&#xff09;进行抓包分析 2、请求模块的代码 3、抓包分析人生格言界面 4、获取各种类型的人生格言链接 5、获取下一页的链接 6、获取人生格言的…

canvas实现涂鸦画板功能

查看专栏目录 canvas实例应用100专栏&#xff0c;提供canvas的基础知识&#xff0c;高级动画&#xff0c;相关应用扩展等信息。canvas作为html的一部分&#xff0c;是图像图标地图可视化的一个重要的基础&#xff0c;学好了canvas&#xff0c;在其他的一些应用上将会起到非常重…