歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

揭密黑產“暴力勒索、毀尸滅跡”運作一條龍

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

處理勒索病毒應急響應事件的時候,會發現了一些有趣的事情,分享給大家,看看現在的勒索病毒運營團伙是如何“暴力勒索、毀尸滅跡”運作一條龍。
現在大部分的勒索病毒都沒有自主傳播的能力,不像之前WannaCry可以通過永恒之藍進行自主傳播,主動感染其它存在漏洞的主機,現在流行的一些勒索病毒,像GandCrab、Globelmpsoter、CrySiS等勒索病毒都是單一的加密主機,不具備自主傳播能力,需要人工植入,但不同的勒索病毒會使用不同的渠道進行傳播感染。
應急響應發現現在勒索病毒大多數使用RDP爆破的方式進入企業,然后再通過各種安全工具,進行內網傳播,黑產的運作流程又是如何的?一般會使用哪些安全工具呢?
某個勒索病毒團伙使用的工具包(其中LOCKER.exe為勒索病毒母體壓縮包),如下所示:

其它都是些什么工具呢?具體有什么用呢?下面一一來給大家進行講解。
黑客通過RDP爆破進入企業之后,一般的企業都會安裝相應的終端安全軟件,首先要結束安全軟件,使用的工具如下所示:

DefenderControl.exe結束Window Defender軟件,如下所示:

ProcessHacker.exe結束進程,如下所示:

有些安全軟件可能還有自保護,一般的進程工具無法結束進程,需要使用PCHunter.exe和PowerTool.exe這樣的驅動級的工具,強制結束安全軟件,如下所示:


結束進程之后,還可以使用Geek Uninstaller等軟件,卸載相關的安全軟件,如下所示:

結束安全軟件之后,需要進行主機密碼口令獲取、內網掃描,爆破,橫向傳播等手段,使用的工具,如下所示:

使用mimikatz工具,獲取主機口令密碼,如下所示:

使用KPortScan3.0工具,掃描內網中的3389的機器,如下所示:

可以看到掃描到很多機器開放了3389,還會使用其它相關的掃描工具,NSScan,如下所示:

SoftPerfect Network Scanner,如下所示:

對掃描到的開放3389端口的機器,再使用NLBrute等工具,爆力破解內網3389的機器,如下所示:

破解內網機器之后,再通過CMD命令啟動遠程桌面連接,如下所示:

然后再次使用相同的方法進行內網感染,植入勒索病毒,加密主機文件,最后使用清除工具Loggy cleaner.exe進行“毀尸滅跡”操作,由于我對Loggy cleaner.exe工具的作用并不熟悉,對Loggy cleaner.exe進行逆向分析,如下所示:
1.獲取主機操作系統語言版本,如下所示:

2.比較操作系統版本語是否為德語,如下所示:

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺