网站 › 『病毒分析区』 › 臭名昭著的Nefilim勒索团伙样本分析

Hcho 发表于 2021-11-5 16:47

臭名昭著的Nefilim勒索团伙样本分析

样本信息


木马概述
    此样本为 Nefilim 团伙勒索病毒，加密后缀为.MERIN，执行后会遍历操作系统中特定后缀文件进行加密，采用的加密算法为RSA。

木马执行细节
Base64解密恶意字符串
    样本中的恶意字符串都存在Base64加密，以此绕过静态分析。
   

初始化CNG
    从这里可以看出样本对文件的加密方式为非对称加密：
   

导入密钥对
   

确定磁盘类型
    从A盘开始循环遍历：
   
   

创建线程遍历目录创建勒索文本并对文件进行加密
    如果找到有效磁盘则创建线程：
   

    遍历目录创建勒索文本
      
      

    判断文件后缀
      加密时略过以下后缀：
      

    加密文件
      ① 首先生成2个随机数：
      
      ② 对生成的2个随机数进行RSA加密，并储存在申请的内存当中，大小均为0x100个字节：
      
      ③ 文件末尾写入第一个随机数加密后的0x100字节：
      
      
      ④ 文件末尾追加第二个随机数加密后的0x100字节：
      
      
      ⑤ 文件末尾加5字节 ”MERIN”：
      
      
      ⑥ 加密文件内容：
      首先读取文件内容：
      
      调用其加密函数对文件内容进行加密：
      
      
      然后将加密后的内容写入文件：
      
      ⑦ 最后在文件后缀上加上 .MERIN：
      
      

加密后的文件结构
   

执行流程总结

smile1110 发表于 2021-11-5 17:43

@Hcho写的不错，继续加油

cericking 发表于 2021-11-7 22:01

恶意字符串都存在Base64加密，以此绕过静态分析。
这个方式非常nice。由此可见，静态分析 应该加入 机械Base64的功能啊:lol

sharkvv 发表于 2021-11-5 18:26

你从哪里弄的钥匙 哥们 厉害啊

eoo 发表于 2021-11-5 18:35

向大佬学习{:1_927:}

ynboyinkm 发表于 2021-11-5 19:08

高手，收藏慢慢研究!

xiaolong23330 发表于 2021-11-5 19:39

条理清晰，赞

OYyunshen 发表于 2021-11-5 19:50

这个流程图，厉害啊，帮助了我！！感谢！！

ThanatosXY 发表于 2021-11-5 20:23

别的不说，最后的流程图赞了

cc66528 发表于 2021-11-5 21:57

执行流程总结这个图写得很清晰，一眼就看懂了

iiinnn 发表于 2021-11-5 22:19

厉害啊，分析的很透彻，但是也只敢看看，不敢下载实践

查看完整版本: 臭名昭著的Nefilim勒索团伙样本分析