Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
防毒擋不住?勒索病毒猖獗與實作
Search
adr
March 18, 2016
Technology
1
270
防毒擋不住?勒索病毒猖獗與實作
SITCON2016, 淺談現代防毒惡意分析行為與模糊弱點與勒索軟體猖獗與實作 by aaaddress1
http://sitcon.org/2016/
adr
March 18, 2016
Tweet
Share
More Decks by adr
See All by adr
Skrull Like A King: 從重兵看守的天眼防線殺出重圍
aaaddress1
3
1.5k
Rebuild The Heaven's Gate: from 32 bit Hell back to Heaven Wonderland
aaaddress1
0
1.1k
重建天堂之門:從 32bit 地獄一路打回天堂聖地
aaaddress1
0
420
Reversing In Wonderland: Neural Network Based Malware Detection Techniques
aaaddress1
2
710
CYBERSEC: 唉唷,你的簽章根本沒在驗啦。
aaaddress1
1
3.9k
SITCON: Playing Win32 Like a K!NG ;)
aaaddress1
2
1.1k
NTUST [2019]: Windows Reversing
aaaddress1
0
1.1k
Duplicate Paths Attack: Get Elevated Privilege from Forged Identities
aaaddress1
0
1.6k
SDN Final Report
aaaddress1
0
450
Other Decks in Technology
See All in Technology
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
830
Platform Engineeringで クラウドの「楽しくない」を解消しよう
jacopen
4
210
LINE NEWSにおけるバックエンド開発
lycorptech_jp
PRO
0
370
AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策
umekou
2
150
アジリティを高めるテストマネジメント #QiitaQualityForward
makky_tyuyan
1
270
30→150人のエンジニア組織拡大に伴うアジャイル文化を醸成する役割と取り組みの変化
nagata03
0
350
あなたが人生で成功するための5つの普遍的法則 #jawsug #jawsdays2025 / 20250301 HEROZ
yoshidashingo
2
350
JAWS DAYS 2025 アーキテクチャ道場 事前説明会 / JAWS DAYS 2025 briefing document
naospon
0
2.8k
OCI Success Journey OCIの何が評価されてる?疑問に答える事例セミナー(2025年2月実施)
oracle4engineer
PRO
2
220
AIエージェント時代のエンジニアになろう #jawsug #jawsdays2025 / 20250301 Agentic AI Engineering
yoshidashingo
9
4.1k
AIエージェント開発のノウハウと課題
pharma_x_tech
9
4.8k
Oracle Database Technology Night #87-1 : Exadata Database Service on Exascale Infrastructure(ExaDB-XS)サービス詳細
oracle4engineer
PRO
1
220
Featured
See All Featured
Git: the NoSQL Database
bkeepers
PRO
428
65k
Docker and Python
trallard
44
3.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
Producing Creativity
orderedlist
PRO
344
40k
Mobile First: as difficult as doing things right
swwweet
223
9.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
115
51k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
33
2.8k
Building an army of robots
kneath
303
45k
Designing for Performance
lara
605
68k
How to train your dragon (web standard)
notwaldorf
91
5.9k
Optimizing for Happiness
mojombo
377
70k
Transcript
㏂㏰懀臶樿䁩卓秝惂苌 勭䃒墰㢝↛⋲⃮磑嶨群䥥熲㥸橃 5+6%10$[CCCFFTGUU 防毒擋不住︖ 勒索軟體猖獗與實作
ō沍絭彋 CCCFFTGUUCFT ō劊Ⰸ⹙羝峫テ粕Ⅽㅕ俻 ō%% %8$/#5/2[VJQP5YKHV ō4GXGTUG'PIKPGGTKPI5MKNNU ō9KPFQYU/CE15#PFTQKF ō⋬↛揉圞㬝獌adr.horse ō6&1*CEMGT%QTG/GODGT
+54+峩䡌征徍↛ ō*+6%10 ō%/6#+&5巼勦 ō%/6Z㔬縂崱㸛绮巼勦
㇃嵒
⛥∮厐㏔綌綌㧪梽 羝瞗䥥㩒㩒
⃫傓㉩♒榋䥥猳
⃫傓㉩♒榋䥥猳 䎛↡熝獑
缙宾椓禖猳 䎛↡熝獑 䎛↡熝獑
⃮宾椓禖㧤ℎ禖猳 㧤㉸砵䆬猳
䎛↡熝獑䎛↡熝獑䎛 ↡熝獑䎛↡熝獑䎛↡ 熝獑䎛↡熝獑䎛↡熝獑 䎛↡熝獑䎛↡熝獑䎛 ↡熝獑䎛↡熝獑䎛↡
勤撰≠㥏剦Ⰸ䨟 㣴✙㠗䁩甙
㔡⇆⃮㧤瓴⛋巼△倃懀臶苌 勭㤐懤瓴橃䥥槜呇䢦禖䫆帹 ㏔綌↷幑粕䥥⛐⇆恑Ⅷ3AAA3 綌沍用用巼⛅猺⡣猳
None
實務分辨病毒與非病毒
病毒是什麼
%JTQOGA5GVWRGZG 替使⽤者安裝Chrome瀏覽器
None
%JTQOGA5GVWRGZG 替使⽤者安裝Chrome瀏覽器 + Hao123
%JTQOGA5GVWRGZG 替使⽤者安裝Chrome瀏覽器 + 百度全家桶
%JTQOGA5GVWRGZG 替使⽤者安裝Chrome瀏覽器 + 百度全家桶
⠐⃡矦┆⨉ 懀臶桬䥝勦䥥㏰疍
⎔糺⃫䢦禖㧪聅石䴏䧏䥥 ㏂∽╨Ϝ♒瞘ㆇ⻇⃮涹 汷櫢偢㪗Ϝ♒瞘ㆇ⅀⃮涹 縸榧⋂䠉甞纝珮⋬羝 砒桡㨉沍
㛿䬕⮿猺Ⰸ揉ⓧ㤐⌻⮿Ⅷ猻
蒐集信⽤卡號、個資 後⾨⽊⾺ 䵠耼椓稱䔧⦿⎔羝㡺 Ⰸ撰勜㫆㠰㐀㡨⇗ 㟵㔋傓櫢ㄔ⺧嬭䎛 䵠耼椓稱䔧⦿⎔羝㡺 桬祚界▶櫦 㟘甩织ㄶ䡌橃
䢦禖䮝 猺/CNYCTG*CUJ猻
XKTWUGZG 我要偷偷上傳使⽤者裸照 我要偷偷幫磺胺粉絲團按讚 我要偷偷上傳使⽤者信⽤卡號 偷偷幫使⽤者過年存壓歲錢
XKTWUGZG 你這個壞寶寶!檔名為virus.exe 就不準使⽤者下載(加入到雲端⿊名單)
ECVGZG珮XTWUGZG珮8+475GZG 哇!是好寶寶捏,放⾏~放⾏~
㢝㤐磷砒椓禖⛋痙
8+475GZG 好的,VIRUS.exe先⽣, 您的指紋是 MD5( 三圍+身⾼+體重... ) 我已經把您備份到壞蛋資料庫囉!
嗯...⿊名單中好像還沒看到這位先 ⽣呀,應該不是壞⼈吧︖
嗯...⿊名單中好像還沒看到這位先 ⽣呀,應該不是壞⼈吧︖ 長⼤啦~~~
嗯...⿊名單中好像還沒看到這位先 ⽣呀,應該不是壞⼈吧︖ 變⾊龍yo
⧁䎛/&5*#⺗㢰粹榽䄫ⓞ磕 䧏㳺㤐甩㉸戙⑆㡨⇗珮⚤磕䥥 ⠐⃡帹┆猺㗨俬猻
獟&㝿䥞⛮⢏
箞㊖䮝 猺䢦禖劊䮝猻
我要不停地彈出⾊情網⾴ 18upSeaDog.com
聅磢⋺椓禖礱勦㏔Ⅷ⃬⃡
None
TFCVC☡㺖
那我就檢測程式靜態⽂字中帶有 18upSeaDog.com就禁⽌開啟 我要不停地彈出⾊情網⾴ 18upSeaDog.com
我要下終端機命令: taskkill -f -im Anti-Virus.exe #PVK8KTWUGZG
↫Ⰺ≁㏔俥痏䠀磢獌 ň⻰瘤假俥⢯獑ʼn猺獪猻 ň⻰瘤苌㓲㏔䡗≁⹊⸱䥥䔙ʼn猺獡猻
我要不停地彈出⾊情網⾴ 18upSeaDog.com 那我就檢測程式靜態⽂字中帶有 18upSeaDog.com就禁⽌開啟
我要不停地彈出⾊情網⾴ Deec(17upSeadog.com)
None
None
磷ㄙ䠉䥥㔬㺖⼒㤐:14苌 ⃮職:14▁⺧⻇㉩痙䬕缷 㔡⇆砒≧肪㇗∙ⓛⅧ&'5珮4%粹∽㾶
None
㕟㫆椓禖箞㊖䮝6QQN /[%%.8KT6GUVŎGVE
1 2 3 4 5 6 7 8 9
None
6B ? ? ? ? E8 ? ? ? ?
E8 ? ? ? ? 83 C4 30
None
眂眂ㄗ⻰⹊
⃮䫆聼≁⋲㧪㽳㧪䷆ㅕ
Lv.20 胙۱磪绚樌ѿ磪䌌揔純 ࢿ盚ॊ 裡ᶎ盚ᘏ 脒䵹盚ᘏ
ٍ磪ਠ碉 C&C ጱ纷ୗ膏緳矒ጱ盅槹 क़ጼ፡蚏㬵蠅脀牏詂獧ग़ ፡犲篷疏ݝ䨝薹瓟婘䁆ᤈጱ纷ୗ 䘣䰬 䋿褬盅槹 䵹ҁShell҂
None
None
None
䡗竅肪㧪㧕⯻側 ⼒⃮㚱Ⅷ2 哔㢝㠩㩽痞∶獑
None
None
6JGOKFCZ䔩
None
6JGOKFCZ䔩
None
⃮職⧁䎛▁㺝完䚊Ⰻ苌 㔡⇆揉ⓧ椓禖㚂甩 ň≁䥥㺝㓲硵⃮㙪㓲⼒䡗㧪禖ʼn䥥丷䡆 ⊾羅䡗Ⅼ↛禆䦫ビ沍忞
㢝㤐椓禖Ⰸ㇁⋲俼俼㣯䥞苌 樽㐬ⓧ㩱ビ側㞬⃮∰⛥ㇰⰨ䃌㕡トⅧ
到此為⽌, 以上都屬於靜態部分的攻防戰
None
在網路上查詢「免殺教程」 教程都在教你如何過「靜態檢測」
ℜ▶ⓧ㩱
嬭䎛㟵㔋 猺#2+*QQM猻
⫣⫣㹄㹄䥥ℎ⧬↛
⫣⫣㹄㹄䥥ℎ⧬↛
䧕碉㕫椓禖ㅚ㙪 ⃡⽒⃮Ⅽ纗[Q
砗懀哋ヒ峯嶷☡㤐聅熝磐≠䠉勦痞∶⚮瞗宾 /KETQUQHV5GEWTKV['UUGPVKCNU椓禖䠃➢䥥
蝡֖य़ᐟ梊ਁler (´ŋ_ŋ`)牧犋ฎ౯梊ਁQQ
None
⍘伞䷁≧䠉䠉
None
㘟硺伞䷁
⌀⼮肪舎 猺舍␂聜粕猻
Malware
Malware 羬翄๐率
Malware 羬翄๐率 Malware
None
None
⌀憌臶 猺⺥⺠⻮羖猻
None
None
.+8'&'/1 ⃡緈砒桡痞∶⍘悲聜≁槜呇 猺⇆(CEGDQQM/GUUGPIGT&GUMVQR㈒熿猻
粕ㇰ䮝㿉⑆
⌨▶∽嬭䎛 䃘䂧椓禖屷綌
%QFG+PGLEVKQP +(KNG1RGTCVKQP 5KFGNQCFKPI %QFG+PGLEVKQP +(KNG1RGTCVKQP 7PKPUVCNNGZG*KLCEMKPI 9WUCGZG 㕶㠟㡨⇗ 5KFGNQCFKPI
9/+䵛䥞缷㩱㈒熿㧠碍㧮甒㡨⇗ 4WPFNNGZG缷㩱㈒熿 OUJVONFNN ,CXCUETKRV2TQVQEQN ╖㇛俜糺䥞⛮⢏聜粕 5XEJQUVU[URTG 㴂倥㧠碍 䃜▁峩䡌⇜甒苌⇜甒貼㌈ℎ⇆磷涹禆椱聴嬭 UFD羝㡺ㆌ瞗宾粕ㇰ㈒熿 ↷'ZRNQKV獑猺GZŎ46(珮 FQE FNN猻
勒索軟體與實作
CryptoWall 4.0 5384f752e3a2b59fad9d0f143ce0215a
None
None
None
Ransomware 疥ᛔ蛪ဳ獈 Explorer.exe 疥ᛔ蛪戢㲘樄秚珸㵕殻 疥ᛔ蛪ဳ獈ک Svchost.exe ݻ֑๐瑊覿玲RSA獍槄 䋿֢ےੂ
Ransomware 㵕眲ኞ౮褰秚AESᰂ槄 犥AESᰂ槄ےੂկ 疥獍槄ےੂ盅ጱ AESᰂ槄狒ਂ 蠣ֵአᘏ՞ѽѽ
䨀標㼄癕殉⼭穯ℬ △倃懀臶
䨀標㼄癕殉⼭穯ℬ △倃懀臶
伂椬⻇䠉%2⌝涹䥥 △倃懀臶
伂椬⻇䠉%2⌝涹䥥 △倃懀臶 倶⻮㤐㎉╖礱䥞㔬群⺗䥥 痙Ⰶ∕猺⡣
Ransomware 戢㲘樄秚珸㵕 ኞ叨褰秚AES Key ኞ叨褰秚RSA蟴䌘 狒ਂRSA獍槄ෝ秚 獍ᐺ槄ࢧ㯽C&C RSAےੂAES Key㪔狒ਂ 犥AESےੂֵአ
ᘏ㮆Ոկ
None
None
None
None
None
None
&GOQ
None
防毒軟體都在幹嘛 ō 樽㐬箞㊖䮝㫆禕 ō ℜ▶椓䲇検㞬 ō 槓㫆禕 ō 宽䇰㿿 ō
⍘≠䠉勦⋬羝猺獑猻
防毒軟體都在幹嘛 ō 樽㐬箞㊖䮝㫆禕 ō ℜ▶椓䲇検㞬 ō 槓㫆禕 ō 宽䇰㿿 ō
⍘≠䠉勦⋬羝猺獑猻 ➔➔苌⌨椓禖珮Ŀ瞗瓴嬼⯌㔮㧪⛐叞⡇
結語
None
幑粕ℎ㚱┑䥥㕡绮苌 ⛐⇆┑㓲䥥)KVJWDCCCFFTGUU ⛐叞㧤⃮⻰㊤愃┑揉⇞⻇∽ 猺祚䙨Ⰸ㱣↬㢝┑ℬ桴猻
羝峫瞗瓴 ℇ㽳㧪嶑⛐⇆⊾羅≁苌 ⅀⃮㤐宾Ⅷ椓禖懀臶 ⼒㧪䠉
⛇⯷苌 /CE15惀.KPWZ砵痙勦 ⅀┆⨉㢢肰䷲㉸Ⰻ桬㊤
你知道現在病毒也懂跨平台開發嗎︖
None
6&1*2+2'羝瞗䰟⧹懵瞪 6&1*不Ⅽ禈↛㔮㖼◀峩䡌 6&1*⹙劳⨑疍#NRJC䔩
7PEQPH .KPWZ0GVYQTM0COGURCEG
「莫風微婆」 魯了⼆⼗多年,快沒⼒了 019+9#06;17♥ KQCPKUCNYC[UQPG
Q&A aaaddress1@gmail.com