首页
社区
课程
招聘
[原创]【病毒分析】Babyk加密器分析-NAS篇
发表于: 2024-7-23 11:34 7867

[原创]【病毒分析】Babyk加密器分析-NAS篇

2024-7-23 11:34
7867

继上篇分析了关于Babyk加密器在Windows环境的行为特征,本篇是针对NAS系统的相关分析。

这里可以通过VS生成了Builder.exe来实现对其Builder过程进行分析,可以看到主要是对这部分文件的处理与释放

文件释放列表及作用:

无法复制加载中的内容

流程图:

逻辑分析:

1 读取参数,第一个参数是文件夹路径,第二个是指定密钥文件

2 根据参数1的文件路径,来和kp.curve25519与ks.curve25519进行拼接,用于后续存储密钥

3 利用随机数函数CryptGenRandom来产生一个私钥,再利用该私钥配合curve25519算法生成一个公钥

4 或者看是否存在第三个参数,有指定私钥的文件,利用该文件内的私钥配合curve25519算法生成一个公钥

5 将私钥和外部的note.txt勒索信写入到加密器中,将私钥写入到解密器中


6 将生成的私钥和公钥写入到kp.curve25519和ks.curve25519文件中

整体流程就是调用随机数函数SystemFunction036,产生了32位的随机数

其中systemFunction036是cryptbase.dll中的函数

之后就是经过了Curve25519算法的密钥生成,得出了一个公钥和一个私钥

存在一个build.bat批处理文件和main.go代码文件

build.bat:

该脚本会生成两个版本的文件,一个是linux下intel架构的程序,另外一个是linux下arm架构的程序。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//