調戲勒索軟體大黑客
作者:immenma
來源:i春秋社區如果已看過此篇,可直接跳去隔壁片場 >>> 再次調戲勒索軟體大黑客【第二篇】
故事起源於C語言吧,本人作為某一不稱職小吧,某天在吧內看到了這個:
其實不用猜都知道,這個肯定不是什麼好東西,下載後放到虛擬機中一跑,就出現了這個畫面
所以,這個叫xiaoba的大黑客馬上被刪帖封禁處理。
不過鑒於他在某些不該跳的地方跳大神,因此,就這樣簡單放過他是不存在的,鑒於最近實在有股怨念,因此我決定把這個大黑客的老底都翻出來。然後狠狠調戲一番讓他知道IT界的殘酷。所以本章內容我都不打碼,一是起到掛城牆的作用,二是是讓這個大黑客看看並讓他死個明白。
首先,通過對他百度賬戶的搜索沒發現xiaoba這個大黑客長期浪跡於易語言吧
就是這個貼吧:
首先:本人對易語言實在沒什麼好感
然後:本人對易語言那群死忠用戶實在沒什麼好感
最後:本人對易語言那些做什麼鎖機病毒勒索的尤其沒什麼好感
進一步搜索信息發現,這貨在到處散播他的勒索軟體,比如這個
這個,還有在各大貼吧論壇中,都有這貨的足跡
順藤摸瓜摸到」易語言吧」的一個帖子中,剛好有被他的勒索軟體中獎的
一次勒索1k元,不怕吃不下撐著么,在帖子中,這貨還出來現身說法了,似乎他對他的勒索軟體十分得意
但是不湊巧的是,這貨的的勒索病毒剛發出來就被路過的野生大神五步破解了
但顯然這貨不服
然後這位大黑客開始曬他的」英雄事迹」
顯然他的舊版勒索軟體被看雪的大佬扒了個乾淨,不過他還是不屈不撓地製作著更多的」新版本」
我們先回到之前那個勒索病毒中來
也就是這個號稱RSA+AES加密的勒索軟體(其實並沒有,大黑客似乎並不知道什麼是RSA和AES),將它放到虛擬機當中,使用ollydbg掛載它,顯然大黑客對反調試手段似乎只知道一個加殼,這個勒索軟體使用了UPX加殼,簡單來說就是沒點卵用,畢竟壓縮殼在執行過程中已經是全裸的了。
然後ALT+M打開內存映像,搜索8B5424048B4C240885D275,這個是易語言字元串比對的特徵碼
根據分析這個特徵在這個程序中有2處,而比對註冊碼的在第二處,跳轉到這個地址,然後下斷點
在勒索軟體的框框中隨便輸入點什麼,點開始恢復文件,命中斷點
第一次命中時,勒索軟體會先比較字元串是否為空,在第二次比較時才會和正確的Key進行比較,第二次比較時,顯然正確的key已經出來了(右下角棧中)
沒關係,我們繼續跟直到retn查看回到哪了,返回後走幾步,基本就知道怎麼回事了
要破解很簡單,要麼把je用nop填充,要麼在Call 比對函數後把eax置為0,當然最直接的是直接把下面的代碼
變成這樣
很快,這款基本沒啥難度的勒索軟體繳械投降
至於他說的什麼RSA AES,那都是笑話,以他的智商根本不具備任何的防逆向分析與數據加密能力.
為了臉打得徹底點,基於上述原理我編寫了一個一鍵破解的小軟體,代碼不長你可以直接複製黏貼編譯,你可以在附件里找到這個軟體的release程序和源代碼
#include <Windows.h>n#include <tlhelp32.h>n#include <iostream>n#include <fstream>n#include <stdio.h>n n#define EXEJ_EXENAME &quot;XiaoBa.exe&quot;n nstatic unsigned char const bin[]={0x83,0xf8,0x00,0xb8,0x00,0x00,0x00,0x00,0x0f,0x94,0xc0,0x89,0x45,0xf8,0x8b,0x5d,0xfc,0x85,0xdb,0x74,0x09};nstatic unsigned char const crkbin[]={0x33,0xc0,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};n nvoid MESSAGE(char *s)n{nMessageBox(NULL,s,&quot;&quot;,MB_OK);n}nint main()n{nchar buffer1k[1024];nunsigned int oft=0;nint bfound=FALSE;nHANDLE procSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);nif(procSnap == INVALID_HANDLE_VALUE)n{nMESSAGE(&quot;無法枚舉進程n&quot;);nreturn 0;n}n//nPROCESSENTRY32 procEntry = { 0 };nprocEntry.dwSize = sizeof(PROCESSENTRY32);nBOOL bRet = Process32First(procSnap,&procEntry);nwhile(bRet)n{nif (strcmp(procEntry.szExeFile,EXEJ_EXENAME)==0)n{nbfound=TRUE;nbreak;n}nbRet = Process32Next(procSnap,&procEntry);n}n nif (!bfound)n{nMESSAGE(&quot;未找到目標進程n&quot;);nreturn 0;n}n nCloseHandle(procSnap);n nHANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, procEntry.th32ProcessID); n nif (!hProcess)n{nMESSAGE(&quot;無法打開目標進程n&quot;);nreturn 0;n}n nDWORD oldProtect,fw,p=1;nwhile (oft<0x7fffffff-sizeof(buffer1k))n{nVirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), PAGE_EXECUTE_READWRITE, &oldProtect );nReadProcessMemory( hProcess, (LPVOID)oft, buffer1k, sizeof(buffer1k), NULL);nfor (int soft=0;soft<sizeof(buffer1k)-sizeof(bin);soft++)n{nif (memcmp(buffer1k+soft,bin,sizeof(bin))==0&&!(p--))n{nWriteProcessMemory(hProcess,(LPVOID)(oft+soft-sizeof(crkbin)),crkbin,sizeof(crkbin),&fw);nif (fw==0)n{nbreak;n}nif (fw==sizeof(crkbin))n{nMESSAGE(&quot;破解成功!請點擊開始恢復文件&quot;);nCloseHandle(hProcess);nreturn 0;n}n}n}n//VirtualProtectEx( hProcess, (LPVOID)oft, sizeof(buffer1k), oldProtect, NULL );noft+=(sizeof(buffer1k)-sizeof(bin));n}nMESSAGE(&quot;未找到破解特徵&quot;);n}n
將破解程序拷貝到中毒計算機中,雙擊運行後,提示破解成功
之後輸入任意密碼,開始解密
到此,這個勒索軟體宣告淪陷,不過我們不急,我們放長線釣大魚
將這個勒索軟體拷貝到虛擬機中,使用PeDoll進行行為分析
有關PeDoll使用教程在論壇中有,在這裡我們使用惡意程序分析(帶網路進行調試)
掛載後分析行為
點擊開始分析,可以看到,在程序執行幾個cmd命令後,把自己設置為開機啟動後開始全盤瘋狂搜索並加密文件
彙編,C,C#源碼類,doc ppt docx 文件類…都遭毒手,然後釋放背景圖片
最後PeDoll抓到了網路通訊的數據包,訪問baidu的應該是易語言里某些插件做的
之後他還訪問了www.ip138.com,應該是查詢被鎖電腦的IP地址
最後,高潮來了,這個軟體往25埠發送了一些數據
25埠是什麼,沒錯,SMTP發信協議,發郵件的,要發郵件必須是帶有賬戶密碼,看來大黑客除了有勒索的技能,還在如何把自己賬號密碼告訴別人這點上頗有造詣.點開數據,查看25埠的數據包
別的不多說了在AUTH LOGIN後的數據包是他郵箱base64後的賬戶,再之後的一個SEND就是他BASE64後的密碼,當然這個軟體還會在你電腦上截圖然後用郵箱發出去
使用Base64解密,得出賬戶
密碼
郵件發送的信息(主機配置和序列號還有解鎖的Key):
打碼?不需要的,大家隨便登錄隨便玩,上foxmail,我們看看有什麼好東西
看來除了我們剛剛測試的還有很多人被鎖了
還有受害者求密碼的,你看別人多直爽
行啊,你不客氣我也不留情,很快呢我翻到了一些有趣的東西
這個郵件,顯然是作者用來自己測試用的郵箱,他把自己大作的源碼傳了上來,OK,既然來了就大家一起開開心心的開源吧,當然還有他電腦桌面的一張截圖,大家一起分享下,所有源碼在附件可下載.
當然,還有別的好玩的
比如,大黑客測試時IP也給我們了,比如這個電腦名叫Xiaoba的,就是他沒跑了
到這裡,基本大黑客的老底被扒了大半了,我把他的所有郵件都下載下來,當然還是放在附件中,開心么?如果你認為這樣就結束了?,當然沒有,怎麼可能,我們繼續
筆者首先開了個小號,假裝成受害者給他發郵件
為了顯示我們很」急」我們多發幾封過去.哦,虛擬機再拍張照,顯示我們的」誠意」
現在我們等他上鉤,然後給他點精神上的打擊,沒想到沒想到他快就回了
咳咳
還想要錢,不給你看點東西你都不知道IT界的殘酷還想要錢,不給你看點東西你都不知道IT界的殘酷
大黑客突然蒙了,為什麼郵箱被黑了
恐怕大黑客今晚要睡不著了,這篇文章讓你死個明白
END:放出大黑客郵件的打包源碼&amp;一鍵破解器&amp;一些別的
xiaoba軟體的源代碼、郵件打包地址原文查看。
如果已看過此篇,可直接跳去隔壁片場 >>> 再次調戲勒索軟體大黑客【第二篇】
推薦閱讀:
※馬雲想要的刷臉支付,谷歌真的幫他實現了!
※[長期]CTF相關書籍以及個人簡評
※NO.12 最近跟AppScan幹上了
※CC攻擊為什麼需要代理伺服器?為什麼不用客戶端直接發起攻擊?
※Popcorn Time(爆米花時刻):第一個不收贖金的勒索軟體
TAG:白帽黑客WhiteHat | 信息安全 | 黑客Hacker |