主要介绍其各个模块之间运行流程,不做细节上分析。
模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread
模块 2,带有混淆的hta脚本通过mshta.exe执行
模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件
大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。
3.1 相关git链接 https://github.com/BeichenDream/BadPotato
3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file