安全分析与研究专注于全球恶意软件的分析与研究忧郁的眼神，唏嘘的须根，神乎其技的分析大法……前言概述

黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动，该框架模拟多个浏览器(Chrome、FireFox)更新、Flash

安全分析与研究专注于全球恶意软件的分析与研究前言

Ratel的作者听说自己的工具被泄露了，然后说要发布一个检测规则以检测此前1.2.2版本的后门，同时还说要更新了免杀功能更强大的1.3版本，如下所示：不久后国外某安全研究员公布了一款Brute

近日，国外某人在社交媒体论坛上宣称，自己的团队入侵了LockBit勒索病毒的服务器，并找到了LockBit

针对企业内部的员工进行定向攻击，包括邮件钓鱼、水坑攻击、社会工程等各种方式，是黑客组织常用的一种APT攻击方式，从企业的员工入手，然后一步一步渗透到企业的核心数据服务器，Lazarus

1.勒索病毒究竟是什么？勒索病毒属于恶意软件的一种病毒类型，这种病毒并不是现在才有的，早在1989年哈佛大学博士学位的生物学家约瑟夫波普Joseph

RootKit项目未来可能也会成为黑客利用的工具，被应用到各种针对Linux平台的恶意软件当中，目前eBPF的RootKit对环境要求比较高，暂时还不太流行，不过也已经发现了一些eBPF

5F482E859AD552D677A7B141B951FB59D73B3D865405BC7F8BFBDF91635F6A05总结

安全分析与研究专注于全球恶意软件的分析与研究前言

HASH00A50F67D713A45CEA6DC956C30042C1总结

RedAlert勒索病毒又称为N13V勒索病毒，是一款2022年新型的勒索病毒，最早于2022年7月被首次曝光，主要针对Windows和Linux

Stealer窃密软件是一款新型的信息窃取恶意软件家族，此前在地下黑客论坛公开出售，每个月仅售100美元，可以针对

安全分析与研究专注于全球恶意软件的分析与研究前言上周五，HSE遭到严重的勒索软件攻击，爱尔兰的医疗服务系统是该国的公共资助医疗系统，在受到勒索病毒攻击之后，被迫在上周五关闭其

安全分析与研究专注于全球恶意软件的分析与研究未来几年勒索病毒仍然是企业最大的威胁之一，其实现在主流的一些勒索病毒黑客组织在发动勒索攻击的背后是一整套完整的攻击流程，黑客在不同的攻击阶段会使用各种不同的攻击手法，同时在攻击的过程中会使用各种不同的恶意软件以及相关漏洞等，并不是像之前使用单一的攻击手法了，变成了一种非常复杂的攻击活动，在黑客攻击完成之后，会潜伏在企业几周，几个月甚至更长的时间，窃取企业的重要数据，这就和APT攻击一样了，先利用APT攻击手段盗取企业的核心数据，最后才发起勒索病毒攻击，未来APT攻击+勒索的方式会更加流行，企业核心的数据成为黑客攻击的主要目标，未来更多的企业喜欢把数据放到云上，针对云的勒索病毒攻击也是黑客攻击的重点方向之一，方便大家交流和咨询，笔者建立了一个专门分享勒索病毒最新威胁情报的知识星球，有兴趣的可以加入，同时也欢迎大家分享勒索病毒相关的威胁情报，相互交流。现在几款主流的勒索病毒家族都开始加入到BGH活动，而且勒索的赎金都相当之高，最近几个勒索病毒家族勒索金额都是几百万到几千万美元不等，这种暴利让更多的黑客组织加入进来，对企业发起定向的勒索病毒攻击活动。该星球主要提供如下最新勒索病毒相关的威胁情报和解决方案咨询等：(1)

安全分析与研究专注于全球恶意软件的分析与研究前言最近几年勒索病毒已经席卷全球，全球范围内越来越多的政府、企业，组织机构等受到勒索病毒黑客组织的攻击，几乎每天都有企业被勒索病毒攻击的新闻被曝光，可能还有更多的企业被勒索病毒攻击之后，选择默默交纳赎金，由于勒索病毒的暴利，越来越多的黑客组织开始使用勒索病毒攻击，笔者研究发现很多新型的远控木马程序也被带上了勒索加密的功能，可能是为了在盗取受害者重要数据之后，再通过勒索的方式，获得双重利益，根据笔者的监控，以及各渠道的反馈数据来看，2021年的勒索病毒攻击手段变的更加复杂，勒索病毒的样本也更加复杂，攻击范围也在不断扩大，勒索病毒黑客组织的运营模式也越来越成熟，未来会有更多的网络犯罪团伙加入到勒索病毒攻击活动当中来，针对勒索病毒如何猛烈的攻击，我们将如何应对这些勒索病毒，谁将会是下一个受害者呢？也许是因为勒索病毒太暴利的原因，可以预见，未来几年使用勒索病毒仍然会是网络犯罪组织最喜欢的攻击方式之一，只是攻击方式会变的更多样化，被攻击的平台也会越来越多，勒索病毒新的家族也会层出不穷，攻击的对象也会不断变化。早期的勒索病毒大多数使用RDP等方式进行攻击，未来这种攻击方式会越来越少，黑客组织更多的会使用更多样本化的攻击手法，而且会越来越向定向化发展，会使用APT攻击的方式来进行勒索病毒攻击。虽然勒索病毒已经越来越多，但仍然有很多企业并不太了解勒索病毒，对勒索病毒的重视程度也不足，甚至还有一些企业都还没有听说过勒索病毒，认为自己也不会成为勒索病毒攻击的受害者，导致企业被勒索病毒攻击的时候，其实已经晚了，目前大部分主流的勒索病毒家族都是无法解密的，最后只能交纳赎金，其实勒索病毒的黑客组织从来没有停止过攻击活动，总是在寻找着下一个攻击目标，给大家整理了一些笔者公众号里之前写的勒索病毒相关的文章，包含：勒索病毒最新样本分析，勒索病毒攻击手法分析，勒索病毒攻击事件剖析，勒索病毒最新攻击发展趋势，勒索病毒解密工具以及应急响应处理方案，勒索病毒威胁情报信息等，供大家参考学习，也许关于勒索病毒的知识点，你想要的也许都在这里，如果你的朋友也想了解勒索病毒，可以把这篇文章转发给他。勒索病毒1.从美油管运营商被勒索事件浅谈安全行业2.MongoDB数据库又被勒索攻击了3.黑客利用Exchange漏洞传播"黑王国"勒索病毒4.黑客利用Exchange漏洞传播新型勒索病毒5.基于ATT&CK框架解析勒索病毒攻击6.Avaddon勒索病毒解密工具及原理7.2020年全球十大流行勒索病毒8.勒索攻击新趋势，DarkSide解密工具9.Netwalker勒索病毒服务私有化，只攻击目标企业10.聊聊最近几款非常流行的勒索病毒11.黑吃黑?NEMTY勒索病毒RAAS服务私有化12.首例以“冠状病毒”为主题的勒索病毒，篡改系统MBR13.黑客瞄准云计算，2020年勒索病毒新趋势14.Sodinokibi勒索病毒最新变种，解密工具更新到2.0版本15.NEMTY勒索病毒变种，勒索又窃密16.Sodinokibi勒索病毒，勒索赎金最高达1200万美元17.勒索病毒攻击新玩法，先盗数据再勒索18.2019年全球十大流行勒索病毒19.Sodinokibi勒索病毒最新变种，勒索巨额赎金20.通过勒索病毒攻击案例，思考勒索病毒攻击现象与趋势21.CrySiS勒索病毒最新变种来袭，加密后缀为kharma22.Buran勒索病毒通过Microsoft

Pipeline)受到网络攻击，该公司主动采取一定的系统隔离措施，同时暂停了所有流水线作业，公司被迫关闭运营，Colonial

安全分析与研究专注于全球恶意软件的分析与研究前言朋友发来一张图片，说MongoDB数据库被勒索了，问我是哪个家族的......（上图来源于网络)，当笔者看到朋友发的图片之后，判断应该是黑客入侵了MongoDB数据库服务器，然后删除了数据库里面的数据，再写入勒索提示信息，进行勒索攻击，其实MongoDB数据库被勒索早就不是什么新鲜事了，之前国内外基本上每年都有过相关的报道，然而这还是没有引起足够的重视，可见国外内各企业的安全意识还有待提高，现在网络安全事件真的是太多了，各种网络安全威胁更是无处不在，全球黑客组织无时无刻不在寻找的新的攻击目标，也许下一个就是你！漏洞研究01勒索攻击为什么黑客能够进入MongoDB数据库，然后删除数据库里的文件，并留下上面的勒索提示信息呢？黑客是通过什么方式进入MongoDB数据库的？主要原因就是MongoDB数据库存在未授权访问漏洞，开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作（增删改高危动作）而且可以远程访问数据库。02漏洞成因在初始安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息！当admin.system.users一个用户都没有时，即使mongod启动时添加了—auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以—auth

BIG-IP/BIG-IQ升级到最新版本，最新版本下载地址：https://support.f5.com/csp/article/K02566623,漏洞允许定义身份验证的攻击者通过

安全分析与研究专注于全球恶意软件的分析与研究前言2021年的勒索病毒攻击似乎比2020年来的更猛烈了一些，才刚刚过去三个多月，全球各地的勒索事件就频频爆发，新型的勒索病毒家族也越来越多了，常常收到一些读者朋友或者做安全圈的朋友发过来的勒索病毒样本和勒索求助信息，也许正是由于2020年勒索病毒的巨大利益吸引了更多的黑客组织加入进来，前不久微软发布Microsoft

Server是微软公司提供关于电子邮件服务组件，同时也是一个协作平台，提供开发工作流、知识管理系统、web系统或者其他消息系统。根据网络空间测绘数据显示，中国地区安装Exchangge

安全分析与研究专注于全球恶意软件的分析与研究前言本月IB集团发布了2020-2021勒索病毒报告，报告中提到了很多流行勒索病毒家族、勒索病毒攻击传播手法，以及相关勒索病毒威胁的技术细节等，笔者通过IB集团发布的勒索病毒报告内容，基于ATT&CK攻击框架，给大家解析一些常见勒索病毒黑客组织的攻击技术与攻击流程。一些读者可能对IB集团不熟悉，这里给大家简单介绍一下IB集团，IB集团是一家总部位于新加坡的解决方案提供商，提供威胁检测和情报，预防网络攻击和在线反欺诈解决方案，知识产权保护以及高科技犯罪调查的专业安全公司。IB集团是国际刑警组织(Europol)的合作伙伴，并成为OSCE组织推荐网络安全解决方案提供商，Group-IB是一支拥有高素质的专业安全人员组成的团队，他们专注于恶意软件分析等领域，参与全球注领先的信息安全活动，他们的客户包含来自阿根廷，澳大利亚，巴西，加拿大，厄瓜多尔，黎巴嫩，俄罗斯联邦，英国和美国的银行，金融机构，石油和天然气公司，软件和硬件供应商，电信服务提供商以及FMCG品牌。IB集团运营着东欧最大的计算机取证实验室，拥有一支经验丰富的调查团队，能够识别犯罪嫌疑人，并收集和分析网络犯罪现场证据，深入分析攻击事件和有效的事件响应，为企业IT基础架构提供全面的保护。勒索病毒勒索病毒无疑已经成为了全球最大的网络安全威胁，勒索病毒的攻击变得越来越复杂，在2019年到2020年期间，IB组的专家估计勒索病毒黑客组织的收益已经超过10亿美元，勒索病毒成为了黑客组织最赚钱的攻击武器之一。在2019年勒索病毒家族的平均赎金约为80000美元，到了2020年平均赎金为170000美元，其中Maze、DoppelPaymer和RagnarLocker这三个勒索病毒家族的平均赎金在100万美元到200万美元。RaaS(勒索即服务)变的越来越多，这些RaaS普遍存在于地下黑客论坛之中，许多勒索病毒家族通过RaaS计划分发，同时一些顶级的网络犯罪集团通过相关的恶意软件家族帮助勒索病毒进行传播，例如:TrickBot、Qakbot和Dridex等家族，随后一些高端APT攻击黑客组织，例如Lazarus和APT27，也开始使用勒索病毒进行网络攻击。勒索病毒的攻击手法变的越来越多，一些流行的恶意软件被用于传播勒索病毒，如下所示：2020年最活跃的勒索病毒家族，如下所示：其中排名前六位的勒索病毒家族，分别是：Maze、Egregor、Conti、DoppelPaymer、REvil(Sodinokibi)、Netwalker勒索病毒攻击最常使用的10项技术，如下所示：使用ATT&CK框架，对勒索病毒攻击的手法进行汇总，如下所示：ATT&CK框架ATT&CK是一个图形化攻击框架，这个框架里面的内容其实就是根据各种不同的流行恶意软件攻击技术以及黑客攻击活动总结而来的，下面我们来介绍勒索病毒黑客组织在利用勒索病毒攻击的时候，在ATT&CK框架的各个不同的阶段使用的一些常用的攻击技术和攻击流程。01初始访问阶段勒索病毒攻击者通过RDP方式进行攻击，RDP服务器也不是唯一的外部远程服务目标，攻击者在初始访问阶段还会通过各种VPN设备的漏洞进行攻击，相关的漏洞信息列表，如下所示：CVE-2018-13379

安全分析与研究专注于全球恶意软件的分析与研究当今社会，不管任何一门技术，或者你从事任何一种职业，都需要掌握相关的知识，现代的技术其实就是以前称的“手艺”，大多数的手艺的学习和入门其实都并不需要太高的门槛，只要你肯学想学，有人教你，就一定可以学会，至于以后的发展，就是那句老话了，师傅领进门，修行在个人了，以前江湖上有一种人叫“手艺人”，一辈子走南闯北靠手艺吃饭，养家糊口，随着现代社会的发民，手艺可以说是五花八门，变成了各种不同的技术，从而发展出各种不同的职业。现在已经是一个信息爆炸的时代，你想学任何一门技术，都一不是问题，网上的资源太多太多了，学习资源对大多数人来说都是公平的，互联网的高速发展给更多的人学习的机会，大家可以学习自己想学的东西，我这篇就不讲技术方面的东西了，因为只要你想学，你可以找到很多相关的资料进行学习。如果大家想从事恶意软件研究，并想在这条道路上走的更远，我给大家总结了三点：1.永远保持一颗"好奇心",想深入的研究，搞清楚这些恶意软件的工作原理，以及黑客是如何编写并完成这些恶意软件的。2.不要怕单调的工作，恶意软件研究需要花费研究人员大量的时间和精力，大部分时间你都只能与这些恶意样本打交道，过程一定是很痛苦的，没有哪门手艺在修练的时候不痛苦，所以你需要足够热爱这项工作，不然很难坚持。3.就是我说的，坚持，坚持，再坚持！现在各种恶意软件无处不在，新的恶意软件家族不断涌现，旧的恶意软件家族不断变种，使用的技术多种多样，不同平台，不同种类的恶意软件会使用不同的技术，需要不断的学习，踏踏实实，沉下心来去研究，其实不管做什么坚持很重要。事实上以上三点可以适用于任何一门技术或手艺的修练和学习，古人云“台上一分钟，台下十年功”，没有哪门技术和手艺的修练是不需要刻苦练习的，这个过程也没人能帮你，只能你自己坚持了。恶意软件研究需要大量的专业知识储备，而且需要掌握很多不同的技能，非常具有挑战性，需要付出很多时间和精力，这些挑战和付出必然会淘汰很多并不是真正喜欢或热衷于这项工作的人们，并不是所有的人都愿意从事这项工作，也不是所有的人都能坚持去研究，痴迷的好奇心与热爱恶意软件研究的人才能在这条路上走的更远，大多数人会在路上选择放弃，或刚刚入门不久就放弃，恶意软件研究工作需要研究人员具备很强的专业知识与学习能力，并不是所有的人都热爱这项工作，有些复杂的恶意软件可能需要专业的恶意软件研究团队分析研究数月之久，事实上很多刚入门的人并不太了解恶意软件这项工作，更不用说那些对恶意软件毫不了解的人了，大部分的人其实并不懂如何进行恶意软件研究，也不愿从事这项工作，这很正常，因为并不是所有的人都能热爱某项工作，真正的恶意软件研究人员可以对某款恶意软件持续五到八小时的研究而不愿放弃，这就是很多年以前大家常说的一种"黑客"精神！恶意软件研究是一项需要不断学习和磨练技能的工作，大多数时候的研究是非常孤独的，因为只有你最了解你所研究的恶意软件，别人没有研究过这款恶意软件其实是不太了解的，恶意软件需要不断学习，不断练习，日积月累，才能有所成就。学习是永无止境的，这一点在恶意软件分析领域尤为突出，这种要求丰富专业知识和高挑战性的工作自然会淘汰那些并非真正喜欢这一行的人，而痴迷、激情和好奇心最终会驱使那些真正喜欢这个工作的人去“剖析”任何东西，拥有强烈的学习意愿和热情，无论你需要投入多少时间和精力，你都要弄清楚你将要学习的东西，要拥有一颗永不满足的好奇心。随着未来各种平台的不断增多，各种新型的恶意软件将会无处不在，黑客组织也在不断开发研究新型的恶意软件做为网络攻击的武器，未来会需要更多专业的恶意软件研究人员，如果你真的热爱这项工作，请做到以上我说的三点，坚持，坚持，再坚持，恶意软件需要学习的东西太多了，需要不断研究新型的恶意软件，需要活到老，学到老，如果你现在是一名恶意软件研究人员，不要去管外界那些不懂恶意软件研究的人跟你去说什么，请保持你的热爱，坚持努力去做一名优秀的专业的恶意软件研究员，人这辈子做好一件事，练好一门手艺，也许你的人生就会与众不同！每个人在自己从事的岗位上都要体现自己的专业素养与知识水平，做事的态度与眼界，决定了你未来人生的高度，很多东西，其实并不难，难的是坚持，当你坚持的时间长了，你就会与别人不同，同时你会拥有一个无形的财富：人格魅力。这个社会上很多东西都容易被替代，只有你自己才是无法被别人替代的，这篇文章主要写给一些想从事恶意软件研究相关的从业者，事实上不管你想从事任何一种职业或做任何一件事，其实都一样。写作于：2021年02月20日，晚。如果你对恶意软件威胁情报感兴趣，可以加入我的安全分析与研究专业群，大家一起学习，共同进步。安全分析与研究专注于全球恶意软件的分析与研究，跟踪全球最新的黑客组织攻击活动，提供最有价值的威胁情报，欢迎关注王正笔名：熊猫正正恶意软件研究员长期专注于全球各种流行恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，安全的路还很长，一辈子只做一件事，坚持、专注，专业！

安全分析与研究专注于全球恶意软件的分析与研究简介Avaddon勒索病毒被笔者称为2020年全球十大流行勒索病毒之一，其首次出现于2020年6月在俄罗斯某地下黑客论坛开始出售，该勒索病毒使用C++语言进行编写，采用RSA-2048和AES-256加密算法对文件进行加密，该勒索病毒的传播方式多种多样，前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播，免杀效果非常好，发展到后面通过Phorpiex僵尸网络进行传播，同时还发现该勒索病毒通过垃圾邮件附带Excel4.0宏恶意代码进行传播。该勒索病毒最新变种加密后的文件，如下所示：勒索提示信息文件内容，如下所示：通过avaddonbotrxmuyl.onion打开勒索解密网站，如下所示：输入用户ID数据，如下所示：解密工具国外安全研究人员发布了一款Avaddon勒索病毒解密工具，解密工具源代码地址：https://github.com/JavierYuste/AvaddonDecryptor，笔者下载了此勒索病毒的解密工具，通过Avaddon勒索病毒的病毒样本进行测试，发现确实可以解密Avaddon勒索病毒，解密步骤：1.以管理员身份打开ProcExp工具，找到Avaddon勒索病毒进程，然后挂起进程，并记下该进程的PID，如下所示：2.以管理员身份打开cmd，使用procdump工具，转储Avaddon勒索病毒进程内存数据，如下所示：3.以管理员身份打开cmd，运行如下解密命令，调用解密脚本main.py，如下所示：4.解密完成之后，如下所示：解密视频如下所示：解密原理笔者深入研究这款勒索病毒解密工具的源码，其原理就是通过暴力破解的方式，从内存中暴力搜寻解密的Key，然后通过搜索到的Key解密文件，详细过程如下：1.暴力搜索匹配DUMP文件中的key数据，如下所示：2.通过搜索到的key解密文件，然后与原文件进行对比，如果匹配成功，则说明找到了解密的key，如下所示：3.然后通过上面找到的key解密文件，如下所示：4.解密整个系统文件的函数如下所示：5.去除最后的24个字节+512个字节的特征数据，如下所示：6.利用解密key，调用Decrypt.exe解密文件程序解密文件，如下所示：这款勒索病毒的解密方式与此前LooCipher勒索病毒的解密工具使用的解密方式基本一样，都是通过暴力搜索DUMP文件中可能的key，然后再使用AES算法解密文件。总结目前大部分主流的勒索病毒都是无法解密的，一些企业在中了勒索病毒之后，为了解密重要数据，保证业务的正常运行，会选择向勒索病毒黑客组织交纳赎金，此前有报道指出勒索病毒黑客组织在2020年至少赚取了3.5亿美元的赎金，这个赎金金额相比2019年增长了311%，2020年勒索病毒的暴利让更多黑客组织开始使用勒索病毒进行攻击，以前大多数勒索病毒主要通过RDP爆破等方式进行传播，现在大部分勒索病毒开始使用各种不同类型的恶意软件进行传播，所以企业中了任何一款流行的恶意软件之后，黑客组织都有可能通过这些流行的恶意软件来传播勒索病毒，都有中勒索病毒的可能，通过数据可以预见2021年勒索病毒会变的更加流行，并且会更加具有针对性，由于勒索病毒的暴利，勒索病毒攻击活动在未来几年仍然是企业面临的最大的网络安全威胁之一，勒索病毒的攻击手法也会越来越多，攻击方式也会越来越复杂。更多勒索病毒相关信息，可以关注安全分析与研究公众号-勒索病毒专辑，如果你对威胁情报与恶意软件研究感兴趣可以加入我的微信群-安全分析与研究专业群往期精彩回顾：一款开源漏洞预警平台安全分析与研究专注于全球恶意软件的分析与研究，跟踪全球最新的黑客组织攻击活动，提供最有价值的威胁情报，欢迎关注王正笔名：熊猫正正恶意软件研究员长期专注于全球各种流行恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，安全的路还很长，一辈子只做一件事，坚持、专注，专业！

安全分析与研究专注于全球恶意软件的分析与研究牛年快乐今天是大年初四，该回归正轨了，牛年是耕耘的年份，也必将是收获的年份。牛，默默无闻，勤于耕耘，辛苦劳作伴其一生，也许我就是这样的人吧。在安全行业混了这么多年，我经常对自己说其实我不是一个聪明的人，不然我可能就是学霸之类的，上学能考个名牌大学啥的，虽然我不聪明，但是我拥有自己的一些特点，就是：勤奋、踏实、坚韧、努力，还有就是坚持，可能别人不能坚持的事，我能默默坚持，而且只要我认定的事，就一定会坚持把它干成，2021年要做的事很多，相信通过牛年的默默耕耘，努力奋斗，将来一定能有更大的收获。最后祝大家牛年快乐，大吉大利，牛年，咱们一起努力，2021年注定是更不平凡的一年，也注定是需要努力付出的一年，努力，加油，坚持，必将收获。前言漏洞是黑客攻击常用的武器之一，也是各种恶意软件的常用载体，各种恶意软件会利用漏洞进行扩散传播，也会利用漏洞进行提权等操作，还会将漏洞作为自身传播的载体，不管是0day、1day或者是Nday，在各种黑客攻击事件或恶意软件中都是非常常见的，最近几年利用漏洞进行攻击的恶意软件是层出不穷，同时也经常出现一些新的Web漏洞，被黑客利用拿来作为恶意软件的载体攻击企业，传播勒索病毒、挖矿病毒、远控木马等，漏洞会一直存在，这个问题是永远没办法解决的，任何系统都会出现各种各样的漏洞，我们能做的就是与黑客赛跑，在日常工作流程中尽量减少出现漏洞风险，以及在高危漏洞大面积爆发的时候，尽快赶紧在黑客利用的前帮助客户修复漏洞，其中打补丁是解决漏洞最有效的方式之一，通过这种方式以减少黑客利用漏洞进行攻击给企业带来的损失，所以高危漏洞的管理和紧急预警是每个安全厂商的基本日常运营工作之一，平时我们在及时了解或查询CVE漏洞信息的时候，经常需要去一些CVE漏洞管理平台，例如CVE

安全分析与研究专注于全球恶意软件的分析与研究2020年已经过去了，过去的一年勒索病毒攻击活动成为了全球最大的网络安全威胁活动，越来越多的勒索病毒黑客组织开始对全球重点企业定向发起勒索病毒攻击活动，并通过勒索病毒获取到高额暴利，最近一年出现多个新型的勒索软件家族，笔者给大家盘点2020年全球十大主流的勒索病毒家族，可以预测2021年全球勒索病毒攻击活动会越来越频繁。公众号开通了转载功能，如果想转载本公众号的相关文章，直接扫描下面的二维码即可申请转载。王正笔名：熊猫正正恶意软件研究员长期专注于全球各种流行恶意软件的分析与研究，深度追踪全球黑客组织的攻击活动，擅长各种恶意软件逆向分析技术，具有丰富的样本分析实战经验，对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究心路历程：从一无所知的安全小白菜，到十几年安全经验的老白菜，安全的路还很长，一辈子只做一件事，坚持、专注，专业！

安全分析与研究专注于全球恶意软件的分析与研究勒索攻击新趋势2020年通过勒索病毒攻击已经成为网络犯罪分子热崇追捧的一种方式，全球几乎每天都有企业被勒索病毒攻击勒索，而且勒索的金额也越来越高，从几万美元到几千万美元不等，越来越多的黑客组织使用勒索病毒对企业发起攻击，勒索病毒带来的暴利让一些技术高超的老牌的APT黑客组织也流下了口水，通过使用勒索病毒定向攻击企业快速获取暴利，根据统计，2020年的几款流行的勒索病毒家族已经攻陷了全球数百家知名的大型企业，如下所示：勒索病毒黑客组织的攻击方式已经从以前单一的使用邮件方式直接传播勒索病毒，到现在利用其他各种主流复杂的恶意软件家族进行传播，黑客组织通过这些流行的恶意软件家族传递勒索病毒，往往不在单一的使用勒索病毒进行攻击，而是通过各种窃密、远控后门、加载器、僵尸网络等安装勒索病毒，发现的一些流行恶意软件传播勒索病毒的经典案例，如下所示：Emotet->TrickBot->Ryuk勒索病毒TrickBot->Conti勒索病毒TrickBot->Ryuk勒索病毒BazarLoader->Ryuk勒索病毒QakBot->MegaCortex勒索病毒QakBot->ProLock勒索病毒QakBot->Egregor勒索病毒SDBBot->Clop勒索病毒Dridex->BitPaymer勒索病毒Dridex->DoppelPaymer勒索病毒ZLoader->Egregor勒索病毒ZLoader->Ryuk勒索病毒Buer->Ryuk勒索病毒Phorpiex->Avaddon勒索病毒BazarLoader->CobaltStrike->Ryuk勒索病毒这些流行的恶意软件都是黑客组织经常利用的恶意软件家族，通过这些流行的恶意软件可以安装其他各种不同类型的恶意软件，从而达到黑客组织攻击的目的。勒索病毒仍然是黑产搞钱最快最直接的方式，可以预见，随着勒索病毒的发展，勒索病毒在未来几年仍然是企业面临的最大威胁之一，同时未来一定会有更多成熟的技术高超的黑客组织通过勒索病毒发起攻击，APT+勒索会成为未来企业最头痛的安全问题，黑客组织会利用更多不同类型的恶意软件去传播勒索病毒，企业的数据一直是企业发展的核心，黑客要想获利，一定会通过各种手段攻击企业，在企业内部安装各种不同类型的恶意软件对企业数据进行盗取以及破坏，从而获取暴利。DarkSide勒索解密现在主流的几款勒索病毒大多数是无解的，所以勒索病毒的重点在于防御，今天给大家介绍一款2020年最新的勒索病毒DarkSide，DarkSide勒索病毒首次发现于2020年8月，这款勒索病毒虽然出来不久，但已经在全球范围内赚足了眼球，这款勒索病毒的黑客组织会通过获取的信息，评估企业的财力，然后再决定勒索的金额，同时这个黑客组织不会攻击勒索医疗、教育、非营利及政府等机构。此勒索病毒加密后的文件后缀名为随机名，如下所示：勒索提示信息文件，如下所示：此勒索病毒加密完成之后会修改桌面背景图片，如下所示：笔者在某个论坛发现了这款勒索病毒的一个解密工具以及测试样本，通过测试发现这款解密工具确实可以解密，演示视频，如下所示：笔者提醒，勒索病毒黑客组织每天都在寻找新的目标，目前大部分流行的勒索病毒家族暂时都是无法解密的，也没有解密工具，所以大家一定要做好相应的防范措施，提高自身的安全意识，同时现在通过使用恶意软件发起的网络犯罪行为层出不穷，未来基于恶意软件的网络犯罪行为会成为全球网络犯罪活动的核心威胁，网络犯罪活动将会成为全球最大的网络安全威胁活动。安全之路好久没给大家写一些东西了，真的太忙了，还有两个月就是2021年，这一年过的真快，自己又成长了不少，学习到不少新的东西，人就是要活到老，学到老，正好今天有点空，给大家分享一下自己的一些心得，做安全技术研究，从事黑产可能会赚到很多钱，从事安全从业者可能会赢得无数的感谢与荣誉，做to

安全分析与研究专注于全球恶意软件的分析与研究2020年勒索病毒攻击出现了一些新的发展趋势，一些勒索病毒黑客组织将目标对准了一些国内外明星，网红博主等，还有一些勒索病毒黑客组织将自己的RAAS平台私有化，像之前比较流行的NEMTY勒索病毒黑客组织，就公开声称将自己的RAAS平台私有化，只对特定的人进行私人制定服务，详细内容可参考此前的文章：黑吃黑?NEMTY勒索病毒RAAS服务私有化笔者近期观察到一款新型的勒索病毒变种样本Netwalker，这款勒索病毒传播变种迅速非常快，在短短的半个月时间里，已经发现了它的几个不同的变种版本，这些变种版本的核心代码基本一致，不过每个不同的变种都使用了不同的加载方式，主要通过VBS脚本、PS脚本、EXE外壳加载等方式，该勒索病毒在过去的两个月的时间里，一直在暗网论坛上非常活跃，根据其黑客组织公布的受害者数据，其感染的企业数量正在不断增长Netwalker攻击活动Netwalker勒索病毒，也称为Mailto勒索病毒，首次于2019年8月被发现，最初的名字是基于其加密后的文件扩展名命名为Mailto，在随后的研究中，对其解密信息进行分析表明这款勒索病毒名称应该为Netwalker，此勒索病毒针对家庭用户、企业、政府机构和卫生组织均发起过网络攻击，相关的攻击案例，如下所示：1.2020年1月，针对澳大利亚运输和物流公司Toll

终于等到你，欢迎关注安全分析与研究，安全一路同行2020年勒索病毒攻击比以往都来的更猛了一点，各种不同的勒索病毒黑客组织都似乎加大了这方面的投入，而且又有一些新的黑客组织加入进来，导致现在勒索病毒攻击越来越频繁了，最近几款流行的勒索病毒都非常活跃，经常有人通过各种渠道向我咨询勒索病毒相关的问题，勒索病毒攻击已经越来越严重了，目前大部分流行的勒索病毒都是无法解密的，勒索病毒以防为主，提高安全意识，虽然外界已经宣传了很多，但仍然有很多企业还是没有引起足够的重视，导致被勒索病毒攻击之后，悔之晚矣，根据COVEWARE公司的报告，2020年Q1季度，企业平均赎金支付增加至111,605美元，比2019年第四季度增长了33％，勒索软件分销商越来越多地将目标对准大型企业，并成功地强制勒索付款以安全恢复数据，大型企业赎金支付在数量上占少数，但支付规模极大地拉高了平均赎金支付，赎金的中位数保持相对稳定，为44,021美元，仅略高于2019年第四季度的中位数41,179美元，中位数的稳定性反映了一个事实，即大多数赎金支付相对于平均值而言是中等的，如下所示：2020年第一季度，最流行的几款勒索病毒，Sodinokibi占于榜首，如下所示：勒索病毒主要的攻击传播方式仍然以RDP和钓鱼邮件为主，如下所示：更多详细的报告，可以参考：https://www.coveware.com/blog/q1-2020-ransomware-marketplace-report趁五一休息，给大家聊聊最近几款勒索病毒家族的一些最新咨讯，这几款勒索病毒位于报告排行榜前四名，最近一段时间非常流行，各企业一定要提高安全意识，防止被勒索病毒攻击，全球的勒索病毒黑客组织都在日夜不停的不断寻找着他们下一个攻击目标，通过向目标植入勒索病毒快速获利Sodinokibi勒索病毒

终于等到你，欢迎关注安全分析与研究，安全一路同行勒索病毒已经被公认成为企业最大的安全威胁，通过近几个月时间的监控，2020年针对企业或个人的勒索病毒攻击已经变的越来越频繁，同时随着新冠疫情的影响，一些勒索病毒黑客组织甚至将目标锁定为一些医疗卫生机构，以谋取最大的利润，2020年勒索病毒黑客组织从未停止过运营，在不断更新自己的攻击手法、变种样本和运营模式，NEMTY勒索病毒最近宣布关闭公共RAAS服务平台操作，转变为勒索病毒服务私有化模式NEMTY勒索病毒是一款新型的流行勒索病毒，首次发现于2019年8月21号，8月24号国外安全研究人员公布了些勒索病毒的相关信息，笔者在第一时间对此勒索病毒1.0版本病毒样本进行了详细分析，在随后几个月的发展过程中，此勒索病毒从最开始的1.0版本发展到了最新的3.1版本，期间经历了1.0，1.4，1.5，1.6，2.0，2.3，2.4，2.5等各种不同的变种版本，此前NEMTY勒索病毒一直在公共的RAAS平台进行分发，该平台由勒索病毒运营商负责开发勒索病毒和付款站点，勒索病毒运营商获得30%的利润，平台上的会员可获得他们带来的勒索款项的70%利润，近期NEMTY勒索病毒运营商发表声明，决定关闭其公共的RAAS操作平台服务，切换为私有化服务，这种私有化运营服务，将根据其会员的专业知识进行筛选，导致后面并不是所有人都可以通过RAAS平台购买和传播勒索病毒，勒索病毒运营组织将会对购买人员专业知识进行筛选，这种私有化的服务方式会不会成为2020年勒索病毒黑客组织的一种新的发展趋势?此前基于公共RAAS平台服务的流行勒索病毒Globelmposter，CrySiS，Phobos，Sodinokibi等会不会后期也会关闭其公共的RAAS服务，转化为私有化服务NEMTY勒索病毒笔者跟踪到一款最新的NEMTY勒索病毒变种，此勒索病毒最新变种版本为3.1，加密后的文件，如下所示：勒索病毒勒索提示信息内容，如下所示：逆向分析NEMTY3.1勒索病毒的相关代码，如下所示：可以发现NEMTY3.1版本的代码结构与NEMTY2.5版本的代码结构不一样，因为NEMTY勒病毒黑客组织对NEMTY3.1版本的代码进行了重构，如下所示：同时NEMTY2.5版本的代码已经被改装成一款新型的勒索病毒Nefilim，可能是因为这个新型勒索病毒黑客组织购买了NEMTY2.5版本的源代码，同时这个新型的勒索病毒组织还宣称不会以医院、非营利组织、学校或政府部门作为目标，在随后的发展，这款勒索病毒迅速出现了另一个新的变种Nephilim黑吃黑勒索追踪NEMTY勒索病毒此前主要在韩国等东南亚地区国家比较流行，最新的这款勒索病毒变种竟然冒充了比较流行的一款恶意软件BUER

终于等到你，欢迎关注安全分析与研究，安全一路同行安全方向最近一些朋友找到我，说想学习一下漏洞和病毒研究，其实很多安全研究人员想入门二进制安全，但关于二进制安全，很多新手朋友对这个方向不太了解，也不知道该怎么去深入的研究学习二进制安全，如何才能成为像自己羡慕的一些顶级安全大佬一样，很多初学者会感到迷茫，不知道从何入手开始学习，二进制安全相比其他安全方向，这个方向的入门门槛相对要高一些，主要是需要安全研究人员有一定的逆向分析与调试能力，需要对计算机内存管理、程序运行原理、计算机系统底层知识都比较深的理解，需要研究人员不断的动手调试研究并且坚持不懈，这是一个很长期的过程，不是一天两天的事情，但是二进制安全一定是安全研究从业者未来想成为顶级安全大师必需要修炼和学习的一门技术，掌握这门技术会让你比别人更懂安全，更懂黑客，二进制安全可以说是练武者内功的修炼，俗话说的好：练武不练功到老一场空，笔者利用这篇文章给一些刚入行的新手朋友解答一下二进制研究的思路与入门指导吧二进制安全研究人员在专业的安全公司主要包含两个方向：漏洞研究、病毒研究，很多人对这两个方向不太了解，因为研究的人本身不太多，这两个方向都需要花费研究人员大量的时间和精力，同时要想在这两个方向有所成绩，需要安全研究人员持续不断的投入时间和精力，没有速成的方法，这也导致大部分安全从业者在接触这两个方向不久之后，就选择了放弃，同时也导致这两个方向的人才出现严重的断层，大多数人只是停留在入门水平，也没有深入的研究和坚持，就放弃了，并没有在这两个方向做更深入的研究，没有坚持做下去，如果你不懂二进制安全，当你做安全的时间越长，你就会越发的觉得你一直在学习武功招式，各种武功招式学了不少，套路也会不少，而一直忽略了内功的修炼，越到后面越会感觉少一点什么东西，而且随着计算机底层安全技术的发展，如果没有二进制安全方面的长期积累，你会发现你在其他方向会越来越难，最后就只能转行了漏洞研究很多新手朋友对漏洞研究总是感觉很神秘，仿佛这种方向遥不可及，其实只是自己不肯下功夫去研究学习，笔者这里给新手朋友推荐一个学习的线路，作为一个入门指导其实漏洞研究并不是那么神秘，市面上已经有很多非常好的书籍了，只是愿意投入时间和精力的人太少了，先学会一门语言，以C语言入门，然后了解一些操作系统底层的基础知识，比方内存分配，指针操作等，再进行汇编语言的学习，对汇编语言有一个基础的了解之后，可以编写一些相关的程序，在编写程序的过程中学习软件调试技术，解决在编程过程中遇到的每一个BUG，这是一个长期的过程，需要不断的练习，有了这些基础之后，就可以尝试去分析一些已知的漏洞，弄清楚这些漏洞的原理，如果有POC或EXP的，可以手动调试一遍，搞清楚这些POC和EXP的技术细节，关于漏洞分析，我这里推荐两本书《0day安全：软件漏洞分析技术》和《漏洞战争》，这两本书对一些常见的漏洞原理与例子进行了详细分析，值得收藏，时不是拿出来翻下，同时一定要多动手，学二进制安全不动手，是学不到东西的，当弄清楚一些常用的漏洞的原理之后，就可以开始尝试去挖掘一些漏洞了其实漏洞研究的基础就是分析程序的Crash，蓝屏DUMP等，漏洞研究人员在挖掘漏洞之前都是不断地去分析各种程序的Crash，弄清楚这些程序为啥Crash，在Crash的时候能不能被利用，这也是漏洞研究的入门，当一个程序出现Crash的时候可能就是漏洞所在，经验丰富的漏洞研究人员会在程序Crash的时候，快速定位到漏洞所在，同时分析这个漏洞是否可被利用，在花时间去研究编写相应的EXP，不过这种对Crash的“敏感”需要漏洞研究人员长期的积累与研究才会形成，这也就是为啥经验丰富的漏洞人员可以更快速的挖掘出软件的漏洞，牛逼的漏洞研究人员，可能只需要使用IDA就可能找到很多程序的漏洞所在，这就要靠很多年的经验和积累了，这里很多朋友就会问了，那怎么才能让程序Crash呢?这就是为啥很多漏洞研究人员会去开发一些Fuzzing程序，啥是Fuzzing程序，其实就是要想办法把程序搞Crash，不把程序搞Crash，就没办法发现和挖掘漏洞，这就是挖掘漏洞的过程，先使用反汇编工具去分析程序中可能存在的漏洞点(一般是程序的输入点)，再去开发相应的Fuzzing程序，不断地测试输入怎么样的畸形数据会导致程序Crash，再从这些导致Crash的畸形数据中去找有价值的数据，通过动态调试去找到数据Crash原理，然后再看看这个Crash的过程能不能补利用，漏洞挖掘的过程大致就是这个过程了，过程虽然说起来简单，但是需要花费漏洞研究人员大量的时间和精力的，不是一两天的事，分析一个已经存在的漏洞，同时又有POC的情况下，只要有二进制逆向分析调试基础，用不了多长时间，但如果需要发现有价值的漏洞，同时又能写出EXP，没有长期的积累和丰富的经验，基本不可能在短时间内完成，很多时间漏洞的发现与挖掘是漏洞研究人员长期的积累之后，已经对漏洞有一种敏感，会在一些程序可能出现的漏洞点上进行不断的尝试，才发现的，当然也有一些漏洞天才选择，靠灵感就能发现一些漏洞吧，不过大部分漏洞研究与挖掘顶级的高手都经历过一个长期积累的过程，这个过程就是一个不断积累的过程，不去积累这种分析调试能力，是没办法更进一步的分析和挖掘漏洞的，同时也没办法发现漏洞，更别说开发EXP了，这个过程是一个非常枯燥的过程，需要研究人员是真的热爱这件事，不然很难坚持，这也就是为啥这个方向研究的人比较少的原因病毒研究很多新手朋友对病毒研究也不是很清楚，一些新手朋友问我，病毒分析有前途吗?到底有什么用?未来的发展前景如何?一些朋友也在私下问我，说我看很多公司都不招病毒研究方向呢?是为什么呢?是不是没有病毒了?是不是这个方向不重要?很多朋友还会顾虑到，为啥外面一些公司在招安全研究员的时候招这个方向的很少呢?这里我也给大家解答一下，同时可以非常肯定的告诉大家：病毒研究一定有前途，而且非常重要，笔者也给新手推荐一个学习线路，作为一个入门指导很多安全研究人员对病毒研究方向不太懂，更不清楚这个方向，笔者曾经写过一篇文章，专门介绍了一下这个方向《你真的了解病毒分析吗?反病毒专家为你深度揭密》，其实很多人对病毒这个概念也不太了解，早期的计算机病毒主要以蠕虫病毒、感染型病毒为主，这些病毒通过感染系统文件，通过电子邮件、共享局域网、系统漏洞等进行传播，当时的计算机病毒主要使用汇编语言进行编写，感染计算机系统中的COM文件和PE文件，这些计算病毒都是人为编写的程序，具备很强的自我复制和传播感染能力，主要用于破坏计算机功能和存储数据，这个时候的黑客组织主要以一种“炫技”的方式展现自己的技术水平，编写这些计算机病毒主要用途可能只是研究，并没有太多的利益驱动，随着计算机网络的发展，计算机病毒开始向更多类型发展，个人计算机安全问题那个时期主要以病毒、木马为主，可以说在那个年代个人电脑上各种病毒木马横行，这些病毒类型主要以蠕虫病毒、感染型病毒、破坏型病毒为主，木马类型主要以盗号木马，后门下载器，远控木马(灰鸽子、Gh0st)为主，这个时候的黑客组织开始以利益驱动为主了，这些病毒程序主要通过盗取受害者数据进行谋利，比方游戏帐号和密码、交社软件帐号和密码、远程控制受害者盗取受害者隐私数据等，能过盗取的这些帐号、密码以及隐私数据在第三方网站上出售获取利益，从这个时候开始黑客组织不要以炫技为主了，转变为以利益为主，现在随着时代的发展，又出现了各种不同类型的恶意软件，这些恶意软件包含勒索病毒、挖矿病毒、流氓推广病毒、僵尸网络病毒、下载器病毒、后门、银行木马、APT远控木马、窃密木马等，同时把这些不同类型的样本家族统称为恶意软件了病毒研究需要掌握的基础知识和漏洞研究是一样的，主要就是对各种不同类型的黑客攻击样本进行逆向分析，从这些样本中获取到有价值的信息，这里涉及到一个样本的捕获能力，拿到流行病毒样本之后，需要对样本进行详细分析，提取出样本中的病毒行为特征，流量特征等，分析病毒样本主要采用静态+动态相结合分析方法，很多病毒样本会使用各种不同的对抗技术，比方：反调试、反沙箱、反虚拟机、混淆、加壳、加密、自修改代码、Rootkit等技术，这些高端的样本需要病毒研究人员具有很强的逆向分析能力，对这些技术都有研究，同时一些APT攻击的样本中可能还会使用各种0day或Nday，这需要病毒研究人员还具备漏洞分析调试能力，病毒研究需要学习很多安全基础知识，不同的病毒样本研究的重点不一样，使用的攻击手法和获取数据的方法也不一样，对病毒研究完成之后，需要对病毒样本进行一个跟踪，如果是流行的病毒样本，会不断变种，从这些病毒的变种版本中溯源到某个黑客组织或者每个病毒家族的发展，总结出这个家族使用了哪些攻击手法，利用了哪些流行的漏洞，样本里面使用了哪些免杀方法等其实病毒研究和漏洞研究是相辅相成的，两者有一定的关联，又有一定的区别，漏洞是病毒的载体，同时病毒又包含漏洞，病毒研究主要是研究病毒里面利用的漏洞，这些漏洞主要为系统漏洞，主要以分析为主，漏洞研究包含漏洞分析，同时还需要进行漏洞的挖掘，漏洞的分析跟病毒里面的漏洞分析差不多，需要分析调试能力，漏洞研究还需要去挖掘新的漏洞，同时病毒研究不仅仅需要研究病毒样本，还需要去研究样本里面的漏洞原理与利用技术，所以这两个方向有交集又有不同的侧重点，但都需要研究人员长期的积累与坚持，才能有所成就，很多人在某个方向，研究一段时间之放弃了，还有一些人连入门都没有入，就看了几份漏洞分析或病毒分析文章，了解一些大体就觉得就这样了，其实自己啥也没学会，这两个方向一定是需要花费很多时间和精力去长期研究的，而且一定要动手自己去分析研究，不然基本是学不到什么东西的，很多人老是想急于求成，其实这两个方向都是没有捷径可以走的，属于内功的修炼，古代修炼内功的人都需要自己找个地方，安安静静的去修炼，需要一步一步脚踏实地，这个是没办法速成的，光看别人写的报告，其实啥也没学到，当有新的漏洞出现或新的样本出现的时候还是不会，所以一定要动手多研究，才能学到东西，慢慢积累，培养一种二进制研究的“敏感度”，这样当你遇到一个样本或一个漏洞的时候就能快速定位到相关的问题，当你修炼完成之后，比拼的就是速度了，天下武功，无坚不摧，唯快不破，高手的决斗比拼的就是速度安全问题，一直是全人类最关心的问题，不管在哪个行业，安全永远都是放在第一位，网络安全问题层出不穷，这些网络安全问题又是怎么产生的呢?其实网络安全从最开始出现到现在，发展了差不多几十年，核心安全问题一直都没有变过，还是漏洞与病毒，通过这两大核心又发展出很多不同的东西，就跟计算机最开始就是1和0，后面又发展出各种不同的语言一样，漏洞和病毒一直是安全的核心，全球大多数网络安全攻击活动也都是利用漏洞和病毒发起的，现在主流的黑客组织攻击手法用来传播恶意软件的方法，如下所示：基本上全球主流的黑客组织攻击手法都离不开上面这些了，这些攻击手法都不是单一的存在，它存在于黑客组织攻击的完整过程链当中，成熟的黑客组织会使用上面的一种或多种攻击法，以达到不同的目标，其中社会工程更是一项复杂的科学，真实的渗透测试都会使用很多社会工程学的方法，网络安全攻击手法发展了这几十年，其实高端的黑客组织攻击方法一直没变化，主要还是利用社会工程（网络钓鱼+垃圾邮件+间谍）、漏洞、病毒，黑客组织利用这些攻击方法，不断发起网络攻击活动，导致全球网络安全攻击事件层出不穷如今网络安全已经成为了全球各国关注与发展的重点，甚至已经成为了一个国家的“国防”事业核心，可以说没有网络安全就没有国家安全，全球各地的网络犯罪黑客组织无时无刻不在发起网络攻击行为，未来随着全球网络基础设施的更进一步发展，黑客组织攻击的目标会越来越多，攻击的平台越来越多，攻击的手法也会越来越多，这是一场永不停止的对抗，同时网络安全已经成为了一个企业发展的重要支撑，企业做的越大，越是需要重视安全问题，全球发现的各种网络安全攻击，数据泄露安全事件，大多数都是由漏洞+病毒发起的攻击，漏洞包含：WEB应用漏洞、软件漏洞、系统漏洞，病毒包含：勒索病毒、挖矿病毒、窃密远控木马、僵尸网络、银行木马、APT攻击木马等，黑客组织通过漏洞发起网络攻击，然后在受害者主机上植入各种病毒程序，盗取或破坏受害者数据，达到网络攻击的目的，专业的网络安全公司一定在这两个方向都有深入的研究和积累的，漏洞分析挖掘能力，病毒跟踪捕获能力，这两个方向在未来需要更多专业的人才，但这些人才需要时间去培养，任何一个方向都需要花费大量的时间和精力，需要研究人员具有很强的研究能力，同时需要对安全很有兴趣和热爱，不然很难坚持，但这两个方向一定是未来安全的重点，我们做安全的目的其实就是对抗黑客，黑客组织每天都在研究新的攻击漏洞，并利用这些漏洞开发新的恶意软件，用这些网络武器对目标发起攻击安全这条路很长，如果真想在这条路上走的更远一点，我建议还是多花时间去研究漏洞，病毒这两个方向吧，当你研究的时候越长，你越会发现这两个方向是安全的基础，也相当于楼房的地基，地基不牢，后面起再高的楼房也会倒塌，现在安全圈很流行两个东西，一个是CTF，一个是红蓝对抗，CTF就不说了，主要是“应试教育”，在校的大学生可以多参加，我之前就说过了，没啥不好的，在里面可以学一些东西，但不在沉迷于CTF，因为真正的网络安全问题，不是CTF，红蓝对抗是最进几年非常流行的东西，基本上很多公司都有自己的蓝军团队，专业的安全公司通过蓝军团队对发现更多的安全问题，同时对抗黑客，随着红蓝对抗的热潮，现在国家非常重视安全这块，每年都有组织HW，今年的HW马上也要开始了，其实HW的重点不就是漏洞＋病毒吗？要想在HW中取得好的成绩，有高端的漏洞+高级免杀病毒，HW中取得好成绩不是很容易的事？然而这两个东西说起来容易，做起来却很难，现在哪几家公司愿意长期专门投入这两个方面的人才培养呢？公司如果真想在HW中取得好的成绩，吊打其他安全团队，一定要注重安全技术研究，在漏洞研究和病毒研究在这两个方面愿意投入相关的人力，专门研究各种漏洞利用技术，木马植入免杀技术，这不是一两天的事，需要长时间的积累的，积累的时间越长，积累的时间越多，安全能力就会越高，到HW的时候随便拿点东西出来就可以吊打别人了，如果从来不积累，想在短时间内成长基本是不可能的事，或者像一些低端的黑客组织一样，通过花钱购买其他成熟黑客组织开发的网络攻击武器(漏洞、病毒)，来完成攻击行为了，高端的黑客组织一定是有一批高端的漏洞研究和病毒研究的人员的安全研究人员有空还是就多去研究一些漏洞，多去分析一些新的样本的免杀技术和攻击手法，研究漏洞和研究病毒一样，需要研究人员不断去尝试，不断去验证，在这个过程中可能需要很大的耐心和精力，未来一定需要更多二进制安全的人才，然而这两个方向都不是一朝一夕的事，需要花费研究人员很多时间去研究，不然很难坚持的，分析调试能力是安全研究的基础能力，需要花费大量的时间和精力去磨练，当你的这个能力足够强之后，不管是做漏洞研究，还是做病毒研究都会得心应手，随着时间的积累，你慢慢就是安全领域最顶端的人才了，做这两个方向的研究，坚持很重要，这就需要研究人员对安全真的很感兴趣，兴趣和爱好可能是支撑这两个方向的研究人员一直踏踏实实去研究的原因吧，希望有更多的年轻人能加入到这两个方向中，不管未来平台怎么变化，安全概念怎么更新，安全框架如何演进，安全产品如何革新，漏洞+病毒永远是网络安全中最核心的东西，也是成为网络安全顶级人才必经的道路，专业网络安全公司一定在这两个方向都拥有一批顶尖的人才，但这条路并不简单，就看你能不能坚持了，付出的越多，回报也一定会越多安全方向现在越来越多了，也越来越细了，但安全问题的核心从来没有变过，安全研究的重点一直是漏洞和病毒，但不管是漏洞，还是病毒都需要安全研究人员能够坚持，坚持，再坚持，动手，动手，再动手，学习，学习，再学习，能坚持下来，你未来就会成为安全领域的顶端人才，坚持不下来，可能最后大多数安全从业者就只能转行了当你在安全的这条路上走的越远，可能你就会越明白上面的内容，同时也希望这篇文章对一些初学者有所帮助吧，其实做安全研究入门并不难，学习资料也很多，难的是坚持，特别是二进制安全方向，需要长期的坚持和积累才能有所成长，可能很多人刚入门坚持了一段时间就不愿做了，谁能坚持，可能谁就能走的更远，未来网络安全，不管是在政府还是企业都会变得越来越重要，一定需要更多专业的安全研究人员，努力，加油，坚持吧！笔者花名：熊猫正正

终于等到你，欢迎关注安全分析与研究，我在这里等你前言概述2020年勒索病毒攻击仍然是网络安全的最大威胁，在短短三个月的时间里，已经出现了多款新型的勒索病毒，关于2020年勒索病毒攻击新趋势，可以阅读笔者写的上一篇文章，里面有详细的分析，从目前观察到的情况，2020年勒索病毒的攻击已经比2019更加频繁，更多黑客组织发现挖矿带来的收益太慢了，都纷纷加入到勒索病毒攻击活动中，通过勒索病毒快速获取暴利，此前由于新冠病毒疫情的爆发，一些黑客组织通过新冠病毒来传播各种恶意软件，其中包含AZORult等间谍窃密软件，利用新冠病毒疫情传播的这些恶意软件都是俄罗斯地下网络论坛中最为常见的一些恶意软件，前不久国外研究人员还发现有一款手机勒索病毒CovidLock利用新冠疫情传播，随着新冠病毒在国外越来越严重，黑客组织会不会持续利用疫情传播各种恶意软件，需要持续关注最近国外安全研究人员公布了一款以“冠状病毒“为主题的勒索病毒，这款勒索病毒会修改系统MBR，会修改受害者主机磁盘名为CoronaVirus，同时生成的勒索提示信息文件为CoronaVirus.txt，勒索提示信息内容显示会全天候接受美国大选的捐款，研究发现这款新型的勒索病毒主要通过假冒Windows系统实用程序网站WiseCleaner.com进行传播，黑客假冒的网站地址：wisecleaner.best，受害者从这个网站会下载安装恶意程序，该恶意程序会从远程服务器上下载释放Kpot窃密木马和CoronaVirus勒索病毒，KPot窃密木马会收集盗取受害者Web浏览器帐号和密码、通信软件、VPN、FTP、电子邮件帐户、游戏帐户以及虚拟货币登录凭据等数据，收集的这些数据可以用于在暗网中出售获利，也可以用于后期进行更进一步的渗透攻击活动，比方利用收集到的这些数据进行APT攻击活动等，同时还可以通过公布这些数据来逼迫受害者交付赎金，其实从2019年年底开始，笔者已经监控到好几个勒索病毒黑客组织已经开始使用“盗窃+勒索”的方式进行攻击，这些勒索病毒黑客组织在使用勒索病毒攻击加密受害者数据的同时会使用窃密木马盗取客户的数据，为什么黑客组织会这样？企业数据安全是企业以及安全厂商关注的重点，黑客赢利的主要手段也是针对企业数据进行盗取或破坏，对企业数据进行盗取主要是通过各种窃密木马，远控木马进行攻击，主要使用的手段就是垃圾邮件、网络钓鱼、水坑攻击、供应链攻击等方式，通过企业安全意识最薄弱的人员入手，一步一步渗透到企业内网，植入窃密远控等木马进行数据窃取，这种攻击行为就现在很多安全企业宣传的APT攻击组织行为，其实还有一类就是对企业的数据进行破坏的攻击，最近几年增加最快的就是勒索病毒，这种攻击行为以前主要是黑客组织追求利益，通过加密勒索受害者BTC，未来可能会在国与国之前利用这种病毒进行网络战争，勒索病毒或破坏性病毒会成为未来网络战的攻击武器之一、勒索病毒使用的技术已经朝着三个方向发展：复杂性、针对性、多元性，未来勒索病毒将不仅仅是黑客组织谋利的主要手段之一，同时也会成为未来网络安全战的核心武器之一，针对敌对国家的一些重要的基础设施和网络设备发起勒索病毒攻击，同时基于安全性的考虑未来更多的企业会将数据存储到云上，所以黑客的目标会转向针对云计算机服务器发起攻击，云计算将是黑客组织的下一个重点目标，同时未来会有更多新型的窃密木马家族出现，通过各种窃密木马收集企业数据，为后期发起APT攻击作准备，事实上黑客组织每天都在更新自己的恶意软件武器库，研究新的网络攻击武器和攻击手法，更多详细的内容，笔者后面有空再给大家写一篇文章介绍，安全永远在路上，很多安全从业人员说做安全是走上了一条“不归路”，其实是这样的，当你决定做安全的那一刻起，就需要坚持，坚持，再坚持，选择安全，就是选择了永不停歇，选择安全，就是要有决战到底的信念，安全没有终点，就是需要持续不断的去研究，研究新的漏洞、研究新的恶意软件、研究新的黑客组织活动、研究新的攻击手法、这就是安全的根本与核心，我们要明白做安全的真正的对手就是那些黑客组织里面研究这些的人，只是黑客的目标是为了获取暴利，通过攻击受害者获利，做安全是为了保护受害者，帮助受害者减少损失，防止被黑客组织攻击，安全永远是人与人的斗争，人就是最大的安全因素，因为总有人想通过手段快速获取暴利，所以要么就不要做安全，要做就只能做到底!详细分析笔者对CoronaVirus勒索病毒进行了分析，Kpot窃密木马分析后面有空再分享给大家1.样本采用了反-反汇编技术，防止安全分析人员对样本进行静态分析，如下所示：对反-反汇编代码进行处理之后，如下所示：2.解密出字符串CoronaVirus，如下所示：3.创建相应的注册表信息，如下所示：创建之后，里面包含BTC钱包地址，邮箱地址等，如下所示：黑客的邮箱地址：coronaVi2022@protonmail.chBTC钱包地址：bc1q5e8pwyk9rqtq400agngmq5h23cuz42x0wlqw3q4.拷贝自身到临时目录下jvbt.exe，如下所示：5.创建线程，启动临时目录下勒索病毒副本程序，如下所示：6.通过ShellExecuteExW执行勒索病毒，如下所示：7.遍历本地磁盘目录文件，并创建线程，加密文件，如下所示：8.遍历网络共享目录文件，并创建线程，加密文件，如下所示：9.创建线程，加密文件，如下所示：10.加密后的文件名被修改为coronaVi2022@protonmail.ch___+[源文件名]，相关代码，如下所示：加密后的文件名，如下所示：11.生成勒索提示文件CoronaVirus.txt，内容如下所示：13.该勒索病毒还会修改系统MBR，修改之后，如下所示：此图来源于bleepingcomputer网站在2020年过去的三个月里，新冠病毒这场突如其来的疫情给全球都带来了或多或少的影响和变化，现在国外新冠疫情比较严重，这场疫情什么时候能在全球范围内完全结束，可能还需要一段时间，由于新冠疫情的影响，现在全球公共卫生医疗机构的资源都非常紧张，国外安全公司Emsisoft已经呼吁勒索病毒黑客组织团伙现在不要对医院或公共医疗组织机构发起勒索病毒攻击，随后Maze勒索病毒黑客团队就在论坛上发表相关的申明，承诺不对医院等组织机构部门发起勒索病毒攻击，全球的勒索病毒黑客组织，现在真的不要再去攻医院或相关卫生医疗机构了，新冠病毒是一场全人类共同的战争，需要全人类共同的努力才能战胜它!威胁情报HASHEC517204FBCF7A980D137B116AFA946D

终于等到你，欢迎关注安全分析与研究，我在这里等你勒索病毒2019年勒索病毒攻击活动已经被国际刑警组织定义为全球最大的网络安全威胁，利用勒索病毒进行攻击的网络犯罪活动也是全球危害最大的网络犯罪组织活动，2019年世界各地不断有企业，、政府部门、组织机构被勒索病毒黑客组织攻击，勒索病毒也是地下黑客论坛最流行、讨论最多的恶意软件在过去的三个月时间里，勒索病毒攻击似乎愈演愈烈，已经出现了多款新型的勒索病毒家族和旧的流行勒索病毒的最新变种样本，通过笔者的监控，可以预测2020年将会有更多的黑客组织加入到勒索病毒攻击团伙，同时黑客组织已经将攻击目标转向了云计算领域，这是一个新的市场机会，未来云计算一定会成为越来越多公司的首选，会有越来越多的公司会将数据存储到云服务器上，如果云服务器被勒索，将会给企业造成巨大的损失，黑客组织也一直在关注这个领域的发展，其实从去年开始就已经有一些黑客组织开始对云计算服务器进行扫描，寻找可攻击的服务器

终于等到你，欢迎关注安全分析与研究，我在这里等你Sodinokibi勒索病毒Sodinokibi勒索病毒又称REvil，自从2019年6月1日，GandCrab勒索病毒运营团伙宣布停止运营之后，Sodinokibi勒索病毒马上接管了GandCrab的大部分传播渠道，同时它也被称为是GandCrab勒索病毒的“接班人”，两者有着一些密不可分的联系这款勒索病毒全球首次发现于2019年4月26日，在某社交网站上，国外某独立安全研究员(专注于恶意软件研究)发现了一款新型的勒索病毒，并取名为Sodinokibi勒索病毒，并于2019年4月27日在某社交视频网站上发布了该勒索病毒的攻击演示视频，如下所示：笔者此前写过一篇文章《威胁情报：揭密全球最大勒索病毒GandCrab勒索病毒的接班人》，里面有完整的记录与详细过程，在首次分析这款新型勒索病毒的过程中，就预感这款勒索病毒未来可能会像GandCrab一样流行起来，这可能是一种职业嗅觉，经过半年发展的，Sodinokibi勒索病毒果然成为了2019年十大流行勒索病毒家族之一，而且在全球范围内都非常流行，我曾一度怀疑这款勒索病毒的背后运营团伙就是GandCrab勒索病毒运营团伙里的部分人员，也可能只是GandCrab的开发者和部分运营人员退休了，替而代之的是后面Sodinokibi开发者和运营人员图片来源于网络Sodinokibi勒索病毒的传播渠道非常多，目前已经发现的一些传播方式，如下所示：2020年1月16日，一个朋友公司被这款勒索病毒加密了，勒索病毒相关提示信息，如下所示：解密网站信息，如下所示：2019年12月20日左右，跟踪发现此勒索病毒运营团队在年底的时候更新了2019年的最后一个Sodinokibi勒索病毒的变种版本，从获取的样本得到的PDB信息为D:\Coding\!av\BTDF\17с\bin\Debug\rwenc_exe_x86_debug.pdb，估计是为免杀处理进行了版本更新最近一段时间，很多朋友通过微信找到我，咨询一些勒索病毒相关问题，其中大部分都是中了Sodinokibi勒索病毒，Sodinokibi勒索病毒运营团伙在半年多的时间里，似乎一直没有停止过发起各种攻击，使用各种不同的传播渠道，非常活跃，提醒各企业要做好相应的防范措施，提高安全意识此前笔者曾通过相关渠道捕获到这款勒索病毒的几个解密工具，Sodinokibi勒索病毒解密工具1.1版本，如下所示：Sodinokibi勒索病毒解密工具1.3版本，如下所示：Sodinokibi勒索病毒解密工具1.6版本，如下所示：1.1版本和1.6版本都只能解密一个加密后缀1.3版本通过一个密钥文件列表可以解密一千七百多个加密后缀最新的这款勒索病毒的解密工具已经更新到了2.0版本，当受害者交付赎金之后，勒索病毒的运营团伙会通过加密后缀生成一个对应的解密工具，一一对应，一个解密工具只能解密一个加密后缀，这款勒索病毒是使用RAAS模式分发的，到目前为止，其不同的加密后缀变种已经多达几千种之多，近期发现的大部分最新的变种都是无法解密的最近一段时间又发现了两例这款勒索病毒的最新变种，其生成的勒索提示文件发生了变化，如下：旧版本的Sodinokibi勒索病毒，提示文件名：[随机加密后缀]-readme.txt[随机加密后缀]-HOW-TO-DECRYPT.txt新发现的Sodinokibi勒索病毒变种，增加了如下两种提示文件名：How

点击蓝字关注我们NEMTY勒索病毒是一款新型流行勒索病毒，首次发现于2019年8月21号，8月24号国外安全研究人员公布了此勒索病毒的相关信息，笔者在第一时间捕获到此勒索病毒1.0版本的病毒样本，并对样本进行了详细分析，随后这款勒索病毒快速发展，在不到半年的时间里，已经从1.0版本发展到了最新的2.5版本，期间经历1.0,1.4,1.5,1.6,2.0,2.2,2.3,2.4等各种不同的变种版本，目前这款勒索病毒主要在韩国等地区非常活跃在分析这款勒索病毒最初始1.0版的样本的时候，发现这款勒索病毒与此前的GandCrab勒索病毒某些特征非常相似，同时通过逆向分析发现它与后面出现的Sodinokibi勒索病毒也有很多相似之处，这款勒索病毒的背后运营团队很有可能也是俄罗斯勒索病毒开发运营团伙，前段时间笔者在与朋友聊天中得知，此勒索病毒的运营团队可能正在一些地下传播渠道寻找这款勒索病毒的中国代理商，2020年这款勒索病毒会不会在国内流行，需要持续跟踪，目前发现的这款勒索病毒主要采用了以下传播方式，如下所示：1.RDP端口2.RIG、RadioEK等漏洞利用工具包3.虚假PayPal网站4.垃圾邮件5.僵尸网络

Engineerhttps://www.crest-approved.org/examination/malware-reverse-engineer/index.htmlARES(Advanced

2019年安全分析与研究文章汇总，主要分为：勒索病毒、间谍软件与木马后门、安全事件分析与研究、安全发展趋势与观点、威胁情报与地下黑产、以及其他各种安全技术分享等，大家对哪个方面感兴趣，可以去阅读学习相关的文章，以下所有文章均为笔者个人原创，如需转载请联系本人，请尊重每一个人的劳动成果，同时非常感谢这半年来大家的支持与鼓励，欢迎大家关注，转发，让更多对安全感兴趣，对安全有需要的朋友关注，如果有安全相关的问题，可以加我微信交流，希望这个公众号可以帮助到更多的人！勒索病毒Sodinokibi勒索病毒，勒索赎金最高达1200万美元勒索病毒攻击新玩法，先盗数据再勒索2019年全球十大流行勒索病毒Sodinokibi勒索病毒最新变种，勒索巨额赎金通过勒索病毒攻击案例，思考勒索病毒攻击现象与趋势CrySiS勒索病毒最新变种来袭，加密后缀为kharmaBuran勒索病毒通过MicrosoftExcel

点击蓝字关注我们2019年6月1日，GandCrab勒索病毒运营团队宣布停止运营之后，Sodinokibi勒索病毒马上接管了GandCrab的传播渠道，Sodinokibi应该是2019年下半年全球传播最广最活跃的勒索病毒之一，同时它也被称为是GandCrab的“接班人”，两者之间有着密不可分的联系，国内外多家安全公司都曾分析过这款勒索病毒与GandCrab的关系，笔者也曾多次写过相应的分析报告，国内第一篇关于Sodinokibi勒索病毒的分析报告应该也是笔者写的，笔者一直在追踪此勒索病毒，最近又捕获到一例Sodinokibi勒索病毒，其勒索赎金最高达1200万美元之多捕获到的Sodinokibi(REvil)勒索病毒样本，仿冒Adobe®

点击蓝字关注我们2019年是勒索病毒团伙针对企业进行勒索攻击爆发的一年，全球多个国家的政府组织机构、企事业单位都成为了勒索病毒团伙攻击的目标，勒索病毒也成为了网络安全最大的网络安全威胁，新的勒索病毒不断涌现，旧的勒索病毒不断变种，2019年马上结束了，然而勒索病毒攻击却更加频繁，全球似乎每天都有勒索病毒攻击的新闻出现，最近两款勒索病毒攻击团伙，又使用了新的玩法，先利用恶意软件盗取企业数据，再使用勒索病毒加密企业数据，不交赎金就公布企业的数据，逼迫勒索病毒的受害者交赎金解密，勒索病毒团伙已经开始“打家劫舍

点击蓝字关注我们2019年应该是勒索病毒针对企业攻击爆发的一年，这一年全球各地仿佛都在被“勒索”，每天全球各地都有不同的政府、企业、组织机构被勒索病毒攻击的新闻被曝光，勒索病毒已经成为了网络安全最大的威胁，利用勒索病毒进行攻击的网络犯罪活动也是全球危害最大的网络犯罪组织活动，勒索病毒成为了地下黑客论坛最流行、讨论最热门的恶意软件，下面我们来盘点一下2019年全球十大流行勒索病毒家族1.STOP勒索病毒STOP勒索病毒最早出现在2018年2月份左右，从2018年8月份开始在全球范围内活跃，主要通过捆绑其它破解软件、广告类软件包等渠道进行感染传播，最近一两年STOP勒索病毒捆绑过KMS激活工具进行传播，甚至还捆绑过其他防毒软件，到目前为止，此勒索病毒一共有160多个变种，虽然此前Emsisoft公司已经发布过它的解密工具，可以解密140多个变种，但最新的一批STOP勒索病毒仍然无法解密，此勒索病毒加密后的文件，如下所示：勒索提示信息，如下所示：2.GandCrab勒索病毒GandCrab勒索病毒于2018年1月首次被观察到感染了韩国公司，随后GandCrab在全球迅速扩大，包括2018年初的美国受害者，至少8个关键基础设施部门受到此勒索病毒的影响，GandCrab也迅速成为最流行的勒索病毒，估计到2018年中期该勒索病毒已经占据勒索软件市场份额的50％，专家估计GandCrab在全球范围内感染了超过500,000名受害者，造成超过3亿美元的损失，GandCrab使用勒索软件即服务（RaaS）商业模式运营，通过将恶意软件分发给购买勒索病毒服务的合作伙伴，以换取40％的赎金，从2018年1月到2019年6月，此勒索病毒多现了多个不同的变种版本，2019年1月，此勒索病毒GandCrab5.1变种版本开始在全球流行，直到2019年6月1日，GandCrab勒索病毒运营团队宣布关闭他们的网站，并声称他们已经赚了20亿美元赎金,两周之后，Bitdefender与欧州刑警组织、联帮调查局、众多执法部门以及NoMoreRansom机构合作，发布了GandCrab勒索病毒的解密工具，可以适用于GandCrab1.0、4.0、5、5.2等版本，此勒索病毒的故事就此结束，加密后的文件，如下所示：勒索提示信息，如下所示：最近半年确实没有发现这款勒索病毒的最新变种了，取而代之的是另一款新型的勒索病毒REvil/Sodinokibi，而且这款勒索病毒全版本的解密工具也已经公布了

点击蓝字关注我们Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，近日此勒索病毒最新的变种，采用进程注入的方式，将勒索病毒核心代码注入到正常进程中执行勒索加密文件操作今年六月一号，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒此前使用了多种传播渠道进行传播扩散，如下所示：OracleWeblogic

点击蓝字关注我们2019年针对企业的勒索病毒攻击越来越多，仿佛全球都在被勒索，基本上每天都会有关于勒索病毒攻击的案例被曝光，勒索病毒攻击已经成为全球最大的网络安全威胁，同时也被国际刑警组织认定为全球危害最大的网络犯罪组织活动，勒索病毒网络犯罪团伙的攻击行为变的越来越有针对性和目的性，笔者通过分析几起勒索病毒攻击活动案例，思考勒索病毒攻击出现的一些普遍现象，以及勒索病毒未来可能的发展趋势2019年11月9日拥有44万客户的ASP.NET网络托管提供商遭到勒索软件的攻击，这是今年的第三家大型网络托管提供商被勒索病毒网络犯罪团伙攻击，加密了客户服务器上的数据，该公司被勒索病毒攻击之后，客户电话被打爆而不得不中断客户电话热线，该公司网站在11月9日被迫关闭一整天，随后在2019年11月10日才重新上线，并向客户承认遭到了黑客使用勒索病毒攻击，正在积极与安全专家合作，尝试解密客户的数据，并确保不会再发生这种情况......

点击蓝字关注我们CrySiS勒索病毒，又称Dharma，首次出现是在2016年，2017年5月此勒索病毒万能密钥被公布之后，之前的样本可以解密，导致此勒索病毒曾消失了一段时间，不过随后又马上出现了它的一款最新的变种样本，加密后缀为java，通过RDP暴力破解的方式进入受害者服务器进行加密勒索，此勒索病毒加密算法采用AES+RSA方式进行加密，导致加密后的文件无法解密，在最近一年的时间里，这款勒索病毒异常活跃，变种已经达到一百多个，近日国外安全研究人员发现这款勒索病毒的最新的变种，与以往变种不一样，这款最新的变种使用NET语言进行编写，加密后的文件后缀为kharma，之所以采用NET语言进行编写，可能也是为了逃避杀毒软件的检测安全研究人员公布的最新的CrySiS勒索病毒，如下所示：从app.any.run上下载到相应的样本，通过分析发现这个样本仅仅是外壳程序，外壳程序使用了大量的sleep函数，如下所示：获取加密数据的密钥，如下所示：解密出来的密钥，如下所示：通过密钥对程序资源中的数据进行解密，如下所示：解密出CrySiS最新变种的核心代码，如下所示：将解密出来的程序DUMP下来，进行查壳分析，发现核心代码使用Confuser进行加壳处理，如下所示：导致代码混淆无法分析查看，如下所示：对核心代码进行脱壳，去混淆处理之后，如下所示：此勒索病毒会进行区域判断，如果为如下区域：0419(LANG_RUSSIAN

点击蓝字关注我们Buran勒索病毒首次出现在2019年5月，是一款新型的基于RaaS模式进行传播的新型勒索病毒，在一个著名的俄罗斯论坛中进行销售，与其他基于RaaS勒索病毒(如GandCrab)获得30%-40%的收入不同，Buran勒索病毒的作者仅占感染产生的25%的收入,安全研究人员认为Buran是Jumper勒索病毒的变种样本，同时VegaLocker勒索病毒是该家族最初的起源，由于其丰厚的利润，使其迅速开始在全球范围内传播感染，Buran勒索病毒此前使用RIG

点击蓝字关注我们Maze勒索病毒，又称Chacha勒索病毒，是今年5月份由Malwarebytes安全研究员首次发现，此勒索病毒主要使用各种漏洞利用工具包Fallout、Spelevo，伪装成合法加密货币交换应用程序的假冒站点或挂马网站等方式进行分发传播，近日笔者监控到一例通过标题为RSA

点击蓝字关注我们一些黑客团伙总是喜欢找一些热点事件，利用这些热点事件传播恶意程序，近期某个黑客团伙就瞄准了某个热点事件，笔者监控到一例利用诱饵文档欺骗用户打开文档中捆绑的程序，利用恶意程序盗取用户浏览器帐号和密码的攻击案例诱饵文档的内容，如下所示：诱导受害者双击下面的视频链接，双击之后，如下所示：文档中捆绑了一个仿冒Windows

点击蓝字关注我们Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，近日笔者在某个渠道发现了此勒索病毒的解密工具，可解密此勒索病毒一千七百多种不同的变种样本今年六月一号，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，如下所示：Oracle

点击蓝字关注我们Sodinokibi勒索病毒在国内首次被发现于2019年4月份，2019年5月24日首次在意大利被发现，在意大利被发现使用RDP攻击的方式进行传播感染，这款病毒被称为GandCrab勒索病毒的接班人，在短短几个月的时间内，已经在全球大范围传播，近日此勒索病毒通过垃圾邮件，冒充中国工商银行进行网络攻击今年六月一号，在GandCrab勒索病毒运营团队停止更新之后，就马上接管了之前GandCrab的传播渠道，经过近半年的发展，这款勒索病毒使用了多种传播渠道进行传播扩散，如下所示：Oracle

最后欢迎大家关注此微信公众号，专注全球恶意样本的分析与研究，深度追踪与解析恶意样本背后的黑色产业链，关注全球最新的安全攻击技术，及时提供全球最新最有价值的威胁情报信息