欢迎进Allbet欧博官网,欧博官网是欧博集团的官方网站。Allbet欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

2022世界杯8强(www.9cx.net):一步一步剖析勒索软件Darkside(中)

admin2021-10-0260技术

皇冠新现金『jin』网

www.huangguan.us)是一个开放皇冠即时比分、皇冠官网手机《ji》版下载、皇冠足球app下载、皇冠注册的皇冠官网平“ping”台。皇冠新现金网平台上登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

,

在本文中,我们继续从手艺角度为读者深入剖析勒〖le〗索软件Darkside。

一步一步剖析勒索〖suo〗软件Darkside(上)

系统权限

该恶意二进制程序可以不带参数运行,或使用一个、两个或三个参数运行(这些情形将在后面先容)。正如我们在下面看到的,它使用(yong)CommandLineToArgvW来获取指向下令行参数的指针(argv[0]是可执行文件名称)+ 参数数目:

 

图42

WTSQueryUserToken API用于获取会话1指定的登任命户的主接见令牌:


图43

OpenWindowStationW 用于打开“Winsta0”窗口站(交互式窗口站),0x40000(WRITE_DAC)用于修改工具平安形《xing》貌符中的DACL:


图44

现实上,“Winsta0”窗口站的DACL(自由接见控制列表)是通过挪用NtSetSecurityObject例程(响应(ying)的参数为0x4 = DACL_SECURITY_INFORMATION)来修改的:


图45

之后,该恶意软件将挪用OpenDesktopW,用于打开“默(mo)认”桌面工具,参数为0x40081 = WRITE_DAC | DESKTOP_WRITEOBJECTS | DESKTOP_READOBJECTS,详细如下所示:


图46

通过挪用带有0x4 = DACL_SECURITY_INFORMATION参数的NtSetSecurityObject函数来修改“默认”桌面工具的DACL:


图47

同时,该恶意软件确立了一个名为 "Global4787658f1cc4202b8a15e05dd0323fde "的互斥锁(该值在此操作之前已经盘算好,代表恶意软件的自界说“哈希”值),这确保了每次只有一个勒索软件的实例在运行(若是互斥锁已经存在,那么恶意软件就会退出):


图48


图49

该勒索软件强(qiang)制系统在历程运行时无法进入睡眠 mian[模式而且不关闭显示器,其中一个参数是0x80000001 = ES_CONTINUOUS | ES_SYSTEM_REQUIRED:


图50

该文件将权限改为SE_PRIVILEGE_ENABLED,以便通过挪用ZwAdjustPrivilegesToken函数来启用该(gai)令牌的权限「xian」(注重TOKEN_PRIVILEGES结构体):


图51

CreateThread API被用来确立一个新的线程,如下图所述:


图52

使用GetLogicalDriveStringsW例程提取系统中有用驱动器清单:


图53

该勒索软件还会寻找DRIVE_REMOVABLE(0x2)和DRIVE_FIXED(0x3)驱动器,如图54所示:

 

图54

接纳站中的所有文件和目录都市被【bei】该历程清空。为此,它是通过FindFirstFileExW API挪用完成遍历的:


图55

如《ru》下图所示,它将通过DeleteFileW函数删除文件,使用RemoveDirectoryW程序删除目录:


图56

该二进制程序然后使用COM工具和WMI下令来删除卷影副本。而且,它还挪用CoCreateInstance函数来确立(li)一个CLSID为{dc12a687-737f-11cf-884d-00aa004b2e24}的、IWbemLocator类的单例工具(详细请参考https://forum.powerbasic.com/forum/user-to-user-discussions/source-code/25222-wmi-wrapper-functions):


图57

此外,它还会确立一个“ge”新的IWbemContext接口,CLSID为{44aca674-e8fc-11d0-a07c-00c04fb68820}(详情请参考https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-wmi/3485541f-6950-4e6d-98cb-1ed4bb143441),该接‘jie’口是通过CoCreateInstance函数确立的:

2022世界杯8强www.9cx.net)实时更新比分2022世界杯8强数据,2022世界杯8强全程高清免费不卡顿,100%原生直播,2022世界杯8强这里都有。给你一个完美的观赛体验。


图58

使用IWbemLocator工具,该历程通过挪用ConnectServer API毗邻到内陆“ROOT\CIMV2”命名空间,并检索指向IWbemServices工具的指针,详细如下所示:


图59

然“ran”后,它将挪用CoSetProxyBlanket函数,如下图所述(0xA = RPC_C_AUTHN_WINNT - NTLMSSP,0x3 = RPC_C_AUTHN_LEVEL_CALL和0x3 = RPC_C_IMP_LEVEL_IMPERSONATE):


图“tu”60

接着,该历程执行以下SQL查询“SELECT * FROM Win32_ShadowCopy”,以获得所有卷影副本的枚举{ju}器,然后通过DeleteInstance方式删除每个卷影副本工具:


图61

然后,通过挪用EnumServicesStatusExW函数(0x30 = SERVICE_WIN32, 0x3 = SERVICE_STATE_ALL)来获取所有服务及其状态: 

图62

其中,每个服务名称都市与前面解密的列表举行对照:


图63

恶意软件通过挪用OpenServiceW例程(0x10020 = DELETE | SERVICE_STOP)打开目的服务:


图64

然后,使用ControlService和DeleteService来中止并删除所有目的服务,如图65所示《shi》:


图65

NtQuerySystemInformation API将返回一个SYSTEM_PROCESS_INFORMATION结构体数组(系统上运行的每个历程都有一个这样的数组,0x5 = SystemProcessInformation):


图66

每个历程的名称都市与之前解密的列表举行对照,如下图所示〖shi〗:


图67

对于每一个目的历程,该恶意软件都市打开响应的历

  • 程,然后终止该历程及其所有线程,详细如下所示:

     

    图68

    该二进制程序还会确“que”立一个(ge)名为< RansomPseudoValue >.ico的文件,如下图所示:


    图69

    使用RegCreateKeyExW函数确立‘li’一个名为< RansomPseudoValue >的新注册表项,如图70所示:


    图70

    之后,DefaultIcon子项“xiang”被‘bei’确立,它指定了新确立的ico文件的路径:


    图71

    该恶意软件挪用SHChangeNotify例程,通知shell更新其图标缓存(0x08000000 = SHCNE_ASSOCCHANGED, 0x1000 = SHCNF_FLUSH):


    图72

    使用CreateFileW函数确立一个名为%PROGRAMDATA%\< RansomPseudoValue >.BMP的新文件:


    图73

    然后,通过挪用RegCreateKeyExW API打开一个注册表项,如下图所示:


    图74

    注册表项中的“WallPaper”值被改为新确立的BMP文件的位置:


    图75

    所有这『zhe』些流动之后,桌面已经被改为下面的样“yang”子:

    图76

    小结

    在本文中,我们从手艺角度为读者深「shen」入剖析了勒索软件Darkside,由于篇幅过长,我们分为两篇文章举行揭晓,更多精彩内容【rong】,敬请期待!

    本文翻译自:https://cybergeeks.tech/a-step-by-step- *** ysis-of-a-new-version-of-darkside-ransomware/
  • 网友评论

    2条评论
    • 2021-09-16 00:13:38

      菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。难得的好文

    最新评论

    • 皇冠新现金网平台 09/10 说:

      IPFS代理www.ipfs8.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecion(FIL)行情、当前FiLecion(FIL)矿池、FiLecion(FIL)收益数据、各类FiLecion(FIL)矿机出售信息。并开放FiLecion(FIL)交易所、IPFS云矿机、IPFS矿机出售、IPFS矿机合租、IPFS算力合租、IPFS招商等业务。

      原来这里这么好玩

    • 皇冠新现金网平台 09/10 说:

      IPFS代理www.ipfs8.vip)是Filecoin致力服务于使用Filecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecion(FIL)行情、当前FiLecion(FIL)矿池、FiLecion(FIL)收益数据、各类FiLecion(FIL)矿机出售信息。并开放FiLecion(FIL)交易所、IPFS云矿机、IPFS矿机出售、IPFS矿机合租、IPFS算力合租、IPFS招商等业务。

      原来这里这么好玩

    • 新2手机网址 09/10 说:

      U担保www.Uotc.vip),全球頂尖的USDT場外擔保交易平臺。

      感到舒适

    • 皇冠注册 09/10 说:

      USDT线下交易www.Uotc.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U担保开放usdt otc API接口、支付回调等接口。

      来逛逛了

    • 皇冠新现金网 09/10 说:

      www.allbetgame.uswww.aLLbetgame.us),www.aLLbetgame.us开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博游戏等业务。

      还有更好的吗

    • 新2最新网址 09/10 说:

      新2会员手机管理端www.huangguan.us)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

      贼精彩,想看下一节

    • 皇冠APP下载 09/10 说:

      USDT交易所www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

      绝世好网站,看文必备

    • 皇冠APP 09/10 说:

      欧博APP下载www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

      语言是苍白的,好啊