首页
社区
课程
招聘
[原创]【病毒分析】 Babyk加密器分析-EXSI篇
发表于: 2024-10-29 17:26 3884

[原创]【病毒分析】 Babyk加密器分析-EXSI篇

2024-10-29 17:26
3884

继上篇分析了关于Babyk加密器在NAS系统的行为特征,本篇是针对EXSI环境的相关分析。

这里可以通过VS生成了Builder.exe来实现对其Builder过程进行分析,可以看到主要是对这部分文件的处理与释放

文件释放列表及作用:

无法复制加载中的内容

流程图:


逻辑分析:

1 读取参数,第一个参数是文件夹路径,第二个是指定密钥文件


2 根据参数1的文件路径,来和kp.curve25519与ks.curve25519进行拼接,用于后续存储密钥

3 利用随机数函数CryptGenRandom来产生一个私钥,再利用该私钥配合curve25519算法生成一个公钥

4 或者看是否存在第三个参数,有指定私钥的文件,利用该文件内的私钥配合curve25519算法生成一个公钥

5 将私钥和外部的note.txt勒索信写入到加密器中,将私钥写入到解密器中

6 将生成的私钥和公钥写入到kp.curve25519和ks.curve25519文件中

整体流程就是调用随机数函数SystemFunction036,产生了32位的随机数


其中systemFunction036是cryptbase.dll中的函数

之后就是经过了Curve25519算法的密钥生成,得出了一个公钥和一个私钥

存在一个Build.sh脚本和源程序

构建脚本(build.sh):

通过GCC进行编译,编译成e_esxi.out加密程序后,再利用strip去除掉符号表。

首先该程序会根据参数的长度,来判断是否存在输出参数,如果不存在则进行提示。

1 在目录遍历之前,都会先对传入的目录写入勒索信


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//