勒索病毒再进化:新型Awesome勒索不仅加密还留后门!
背景概述 近日,深信服安全团队捕获到一款使用Go语言编写的勒索病毒。此次捕获的样本有勒索及后门两个功能,并且能指定目录和文件进行加密。其加密模块改写于开源的加密项目代码,并将加密模块重命名为awesomeProject_word,因此深信服终端安全团队将其命名为Awesome勒索病毒。 Go语言作为一门非常年轻的语言,简单易上手、支持多平台让其受到攻击者青睐。编译时全静态链接和独特的栈管理方式大大增加了安全人员研究分析和检测难度使用Go语言开发的恶意样本大都集中于后门、挖矿两大类,勒索病毒相当的罕见。 上一次发现的Go语言勒索病毒,是19年年初由好事者在Github上发布的勒索病毒源码改编而来。即便发布者声称是为了研究勒索病毒原理,但攻击者显然不这么认为,简单改写就用于勒索活动。 技术分析 该勒索病毒使用UPX3.96加壳,Go版本为1.13,符号文件已被删除。 运行界面显示该病毒可以指定目录文件进行加密或删除; 修复符号表可以确认为一款使用GO1.13编写的新勒索+后门病毒; 一、加密模块 解析输入参数argument代表加密目录和正则匹配模式,需要注意的是,在golang中,函数调...
