我是如何"黑"掉100个黑客的，或者说是那些脚本小子们！

"无聊总是伴随着一段创造力迸发的时期" ——罗伯特·M·皮尔西格

事情是这样开始的

最后的结果

Jinn勒索软件构建器在社交媒体上的传播

"Jinn勒索软件"是什么样的?

这是一个声称能构建完全可定制勒索软件的工具,具备以下特点:

1. C2回连功能
2. 多语言支持(PowerShell/C#/Python)
3. AES加密和解密
4. 零检出率

实际情况是这样的

Jinn勒索软件构建器实际上是一个蜜罐,但上述某些功能确实是存在的。

让我们来详细说明一下这些功能:

1. C2回连 — 后门植入与硬编码:

TcpClient() 函数需要两个参数 — 主机地址和端口

可以看到,主机地址是通过 Substring() 函数从一个较长的字符串中提取IP地址得到的。

Process _Tiger = new Process();

用于在内存中初始化一个新进程。

_Tiger.StartInfo.Filename = GetFileName();

请注意这个函数,下面我们会解释。

GetFileName() 函数使用与TcpClient()函数相同的Substring()方法来构建木马文件名。

最终结果: CmD.eXE

结论:代码的作用是建立远程连接,并打开一个托管在服务器上名为"CmD.eXE"的进程。

2. 多语言支持(PowerShell/C#/Python) — 理论上支持:

用户本应该通过命令行创建勒索软件的配置,包括C2服务器详情、植入程序语言(PowerShell、C#、Python)、持久化方式(无、计划任务、新建账户)、解密密码以及需要加密的文件扩展名列表。

构建器最终应该生成两个可执行文件 — 一个用于加密,一个用于解密。

这些功能只是为了让特性列表看起来更丰富。

3. AES加密与解密 — 但函数并不完整:

添加这些是为了:

• 让它看起来像个正经的勒索软件构建器
• 在明显之处隐藏硬编码的后门

实际上,从程序的主函数开始分析源代码就会发现:

首先调用的是 me() 方法,这就是后门连接。

定义如下所示。

4. 零检出 — 这个不用多说了😏:

经验教训

一定要分析从网上下载的漏洞利用工具和黑客工具的代码

• 检查IP地址和端口
• 检查建立新连接的函数
• 检查试图运行系统命令的函数
• VirusTotal零检出并不意味着文件就是安全的

验证你在社交媒体或向客户传播的威胁情报的质量。特别是关注独眼情报这种高质量的威胁情报源。🐶

法律声明

所有活动都在模拟环境中进行。未进行任何非法黑客行为,我也强烈反对此类行为。