locked勒索病毒流程记录

主要介绍其各个模块之间运行流程,不做细节上分析。

模块 1,下载兼内存中执行。关键点:socket+VirtualAlloc+CreateThread

模块 2,带有混淆的hta脚本通过mshta.exe执行

模块 3,1,nday提权 2,byovd攻击进行杀软对抗 3,调用加密模块加密文件

大部分功能都集中在模块3里面,其采用c#编写;内部有通过base64编码的形式携带易被利用的驱动和用于加密的模块。其中3.1和3.2可以在github上找到对应的仓库;3.3中的加密部分采用rsa;在本地生成的密钥对并回传给服务器。

3.1 相关git链接 https://github.com/BeichenDream/BadPotato

3.2 相关git链接 https://github.com/myzxcg/RealBlindingEDR?tab=readme-ov-file

相关推荐
梓仁沐白5 小时前
ubuntu+windows双系统切换后蓝牙设备无法连接
windows·ubuntu
九鼎科技-Leo9 小时前
什么是 WPF 中的依赖属性?有什么作用?
windows·c#·.net·wpf
Yang.9911 小时前
基于Windows系统用C++做一个点名工具
c++·windows·sql·visual studio code·sqlite3
我不瘦但很逗11 小时前
Windows下使用DBeaver连接云数据库(MySQL)
数据库·windows
ashane131413 小时前
Java list
java·windows·list
万里沧海寄云帆13 小时前
Word 插入分节符页码更新问题
windows·microsoft·word
dot.Net安全矩阵14 小时前
.NET 通过模块和驱动收集本地EDR的工具
windows·安全·web安全·.net·交互
编程修仙15 小时前
Collections工具类
linux·windows·python
程序员小羊!17 小时前
高级 SQL 技巧讲解
windows
xiangshangdemayi18 小时前
Windows环境GeoServer打包Docker极速入门
windows·docker·容器·geoserver·打包·数据挂载