Golang实现勒索软件Bugo的示例分析
导读:本文共1643.5字符,通常情况下阅读需要5分钟。同时您也可以点击右侧朗读,来听本文内容。按键盘←(左) →(右) 方向键可以翻页。
摘要: 背景最近一段,通过奇安信大数据平台检测,国内外越来越多的恶意软件开发者开始使用Golang语言来开发远控、勒索软件等恶意软件。在前一阵的通达OA事件中,攻击者就使用了Golang编写的勒索软件,通过伪装成通达OA的某个插件的方式植入相关企业的电脑中,成功绕过杀软软件,加密企业数据,给相关企业造成了较大的损失。本次捕获的新型勒索软件“Bugo”目前正在地下论坛中出... ...
目录
(为您整理了一些要点),点击可以直达。背景
最近一段,通过奇安信大数据平台检测,国内外越来越多的恶意软件开发者开始使用Golang语言来开发远控、勒索软件等恶意软件。
在前一阵的通达OA事件中,攻击者就使用了Golang编写的勒索软件,通过伪装成通达OA的某个插件的方式植入相关企业的电脑中,成功绕过杀软软件,加密企业数据,给相关企业造成了较大的损失。
本次捕获的新型勒索软件“Bugo”目前正在地下论坛中出售。卖方称可以自定义联系方式和加密后缀。
这意味着,相关黑产团伙购买后可以无限制的生成任意加密后缀的勒索样本,如果考虑极致的免杀还可以在外层套几层流行的混淆器再进行投放,危害巨大。同时在该论坛中,有人在寻求Arkei Stealer logs工具,用于勒索软件的攻击流程中。
样本分析
整体流程如下:
将自身拷贝到%temp%目录下,调用CMD启动
随机生成AES密钥并加载RSA公钥,使用RSA公钥加密AES密钥,作为用户ID
遍历目录
排除如下目录
C:\PerfLogs
C:\Program Files
C:\Program Files (x86)
C:\Windows
加密的文件后缀类型如下
加密文件,后缀为.[bugbugo@protonmail.com].bug
之后自删除,弹出勒索信
</div> <div class="zixun-tj-product adv-bottom"></div> </div> </div> <div class="prve-next-news">Golang实现勒索软件Bugo的示例分析的详细内容,希望对您有所帮助,信息来源于网络。