臭名昭著的Nefilim勒索团伙样本分析

Hcho · 发表于 2021-11-5 16:47

样本信息

木马概述
此样本为 Nefilim 团伙勒索病毒，加密后缀为.MERIN，执行后会遍历操作系统中特定后缀文件进行加密，采用的加密算法为RSA。

木马执行细节
Base64解密恶意字符串
样本中的恶意字符串都存在Base64加密，以此绕过静态分析。

初始化CNG
从这里可以看出样本对文件的加密方式为非对称加密：

导入密钥对

确定磁盘类型
从A盘开始循环遍历：

创建线程遍历目录创建勒索文本并对文件进行加密
如果找到有效磁盘则创建线程：

遍历目录创建勒索文本

判断文件后缀
加密时略过以下后缀：

加密文件
① 首先生成2个随机数：

② 对生成的2个随机数进行RSA加密，并储存在申请的内存当中，大小均为0x100个字节：

③ 文件末尾写入第一个随机数加密后的0x100字节：

④ 文件末尾追加第二个随机数加密后的0x100字节：

⑤ 文件末尾加5字节 ”MERIN”：

      ⑥ 加密文件内容：
      首先读取文件内容：

调用其加密函数对文件内容进行加密：

然后将加密后的内容写入文件：

⑦ 最后在文件后缀上加上 .MERIN：

加密后的文件结构
蓝信图片_lx_clip1636100490502.png

执行流程总结

smile1110 · 发表于 2021-11-5 17:43

@Hcho 写的不错，继续加油

cericking · 发表于 2021-11-7 22:01

恶意字符串都存在Base64加密，以此绕过静态分析。
这个方式非常nice。由此可见，静态分析应该加入机械Base64的功能啊

sharkvv · 发表于 2021-11-5 18:26

你从哪里弄的钥匙哥们厉害啊

eoo · 发表于 2021-11-5 18:35

向大佬学习

ynboyinkm · 发表于 2021-11-5 19:08

高手，收藏慢慢研究!

xiaolong23330 · 发表于 2021-11-5 19:39

条理清晰，赞

OYyunshen · 发表于 2021-11-5 19:50

这个流程图，厉害啊，帮助了我！！感谢！！

ThanatosXY · 发表于 2021-11-5 20:23

别的不说，最后的流程图赞了

cc66528 · 发表于 2021-11-5 21:57

执行流程总结这个图写得很清晰，一眼就看懂了

iiinnn · 发表于 2021-11-5 22:19

厉害啊，分析的很透彻，但是也只敢看看，不敢下载实践

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 臭名昭著的Nefilim勒索团伙样本分析