安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
今天看到群里有人求助,询问是不是使用了BYOVD技术,如下所示:
最近一两年BYOVD技术被广泛应用到了各种黑产攻击、APT攻击以及勒索病毒攻击活动当中,笔者近期在对某黑产组织进行跟踪,捕获到该组织的最新攻击样本,通过某安全厂商的驱动程序漏洞,利用BYOVD技术对抗其他各种终端安全软件包括各种EDR、AV、XDR软件等,对该样本进行详细分析,该组织正处于发展阶段,通过肉鸡控制大量主机,从而进行网络违法犯罪活动。
勒索病毒
1.勒索病毒样本,编译时间为2025年2月5日,如下所示:
样本时间非常新,搞勒索的果然挺积极的,一开年就开始搞钱了。
2.勒索病毒加密后的文件,如下所示:
3.生成的勒索提示信息文件名为RECOVERY INFO.txt,勒索提示信息,如下所示:
4.同时还会生成一个wxr.txt的文件,包含用户的ID以及主机相关信息,如下所示:
5.勒索病毒解密暗网网站,如下所示:
勒索病毒后面有空给大家详细分析吧,这里就不多扯了。
BYOVD技术
1.先看看驱动程序,带有金山的数字签名,如下所示:
2.驱动程序在VT上只有两家报毒,如下所示:
3.通过分析该驱动程序,可被利用用于对抗安全软件,与此前笔者研究过的BYOVD技术中的驱动一样,如下所示:
4.加载可利用的驱动程序,如下所示:
5.调用驱动程序的接口,对抗安全软件进程,如下所示:
6.接口代码,如下所示:
7.干掉进程,如下所示:
恶意软件研究包含的东西实在是太多了,笔者要分享的东西也太多了,慢慢来吧,有兴趣可以加入笔者专业群,与各位同行一起学习交流。
总结结尾
如果对恶意软件分析感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):新型勒索病毒使用BYOVD技术对抗安全软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论