Fantasy会注入被XOR加密的payload,在数据结构中定义加密的XOR密钥,payload大小,加密的数据内容。
最终stage-GOLD-BACKDOOR和2021年8月Volexity披露的bluelight几乎吻合。
D:DevelopmentGOLD-BACKDOORReleaseFirstBackdoor.pdb
E:DevelopmentBACKDOORncovReleasebluelight.pdb
GNU字符串工具可以看到嵌入在word中的lnk
参考链接:
The ink-stained trail of GOLDBACKDOOR
AvosLocker勒索
在aswArPot.sys中,我们在一个switch case 中分支:case 0x9988C094:带有函数 sub_14001DC80,该函数具有清除杀毒软件的作用。
Avast官 :我们可以确认旧版驱动程序 aswArPot.sys 中的漏洞,我们在 2021 年 6 月发布的 Avast 21.5 中修复了该漏洞。
使用 C:temppassstart.exe 执行密码恢复工具 XenArmor
利用黑客工具Impacket进行横向移动
BlackByte勒索
基于go语言编写,使用AdvObfuscator加密大多数字符串。
通过解除镜像劫持防止被调试,注册表位置:
SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options
检测的进程如下
vssadmin.exe
wbadmin.exe
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!