【蜜罐捕获】捕捉到一个带有公私钥的勒索病毒

admin

IOC：
111.202.224.98
218.146.11.253
121.22.5.169
188.19.77.166
45.93.201.66
117.156.132.14

---

入侵方式：RDP暴破入侵
自从工作了之后就基本上没发什么情报
这不 时隔多年又玩起了蜜罐
本次监测到的攻击时间线比较长
根据捕获的勒索软件所显示的时间判断
第一次入侵是在 2023年2月1日 晚上10时34分
此黑客在入侵后仅留下一个勒索软件后便离开了 勒索软件并未被运行
下图是勒索软件的截图


为了保证勒索软件的隐匿性 此黑客将勒索软件放在C盘下ProgramData文件夹下的Windows已安装更新的文件夹内
如果直接复制所在路径到地址栏的话 进入的不是文件资源管理器 而是直接进入了控制面板里得Windows已安装更新列表
以此来达到反侦察的目的
故我这边使用cmd成功的进入了病毒隐匿的所在文件夹内 并将病毒本体以及其他恶意文件复制到桌面上的“Virus”文件夹内


之后此黑客又在 2023年2月3日 晚上9时46分 再次进入了蜜罐系统
上传了勒索用的公钥和私钥以及 secure.sys 文件


上传完毕后立刻运行勒索程序 对系统内的各种文件进行加密攻击


勒索软件：我疯起来连自己人都杀


同时在 下载 文件夹内 有一个名为“3”的文件夹 此文件夹内含有日志清理软件 用于勒索后的清理登录日志 防止安全人员反向追踪IP


被勒索加密后的文件后缀名均被改为 .Carver


由于蜜罐系统的上层有流量监控 所以我们可以通过已捕获的数据包来寻找黑客的IP地址
根据蜜罐系统内勒索软件的上传时间来查找所处时间段的IP地址 总共有3个可疑IP 分别是：
45.93.201.66
111.202.224.98
117.156.132.14


后根据公私钥上传时间来进行二次判断 同时因勒索软件所在的文件夹隐匿性很高 其他人根本就找不到勒索软件的位置 最终确定了此黑客的IP：111.202.224.98


因蜜罐系统和上层均已做时间同步 所以此IP：111.202.224.98 的威胁程度最高

当系统内可被加密的文件被加密后 勒索软件会在各文件下的根目录生成一个 .MHT 的文件


此文件的用处为勒索信 用于通知被勒索终端的管理员“你的文件已被加密”


病毒样本我放在下面 解压密码：www.zhanyingwl.com