新型勒索病毒使用BYOVD技术对抗安全软件

admin 2025年2月10日11:58:55评论15 views字数 970阅读3分14秒阅读模式

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

今天看到群里有人求助,询问是不是使用了BYOVD技术,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件
新型勒索病毒使用BYOVD技术对抗安全软件

最近一两年BYOVD技术被广泛应用到了各种黑产攻击、APT攻击以及勒索病毒攻击活动当中,笔者近期在对某黑产组织进行跟踪,捕获到该组织的最新攻击样本,通过某安全厂商的驱动程序漏洞,利用BYOVD技术对抗其他各种终端安全软件包括各种EDR、AV、XDR软件等,对该样本进行详细分析,该组织正处于发展阶段,通过肉鸡控制大量主机,从而进行网络违法犯罪活动。

勒索病毒

1.勒索病毒样本,编译时间为2025年2月5日,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

样本时间非常新,搞勒索的果然挺积极的,一开年就开始搞钱了。

2.勒索病毒加密后的文件,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

3.生成的勒索提示信息文件名为RECOVERY INFO.txt,勒索提示信息,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

4.同时还会生成一个wxr.txt的文件,包含用户的ID以及主机相关信息,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

5.勒索病毒解密暗网网站,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

勒索病毒后面有空给大家详细分析吧,这里就不多扯了。

BYOVD技术

1.先看看驱动程序,带有金山的数字签名,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

2.驱动程序在VT上只有两家报毒,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

3.通过分析该驱动程序,可被利用用于对抗安全软件,与此前笔者研究过的BYOVD技术中的驱动一样,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

4.加载可利用的驱动程序,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

5.调用驱动程序的接口,对抗安全软件进程,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

6.接口代码,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

7.干掉进程,如下所示:

新型勒索病毒使用BYOVD技术对抗安全软件

恶意软件研究包含的东西实在是太多了,笔者要分享的东西也太多了,慢慢来吧,有兴趣可以加入笔者专业群,与各位同行一起学习交流。

总结结尾

如果对恶意软件分析感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族。

新型勒索病毒使用BYOVD技术对抗安全软件

安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。

新型勒索病毒使用BYOVD技术对抗安全软件

王正

笔名:熊猫正正

恶意软件研究员

长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究

原文始发于微信公众号(安全分析与研究):新型勒索病毒使用BYOVD技术对抗安全软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月10日11:58:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型勒索病毒使用BYOVD技术对抗安全软件https://cn-sec.com/archives/3719704.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息