标注的博客| 安全研究| 渗透测试| APT

首页

nullarray/cypher:pythonic勒索软件概念证明。

作者 prehn 时间 2020-03-31
all

Cypher是一个概念证明勒索软件,它实现了PyCrypto模块,并使用gmail(目前)作为一个简单的命令和控制服务器。这是一项工作,迄今为止,我将定期发布更新取决于以下几个因素

Cypher通过为每个已感染的框生成唯一的客户端ID来操作。客户端ID和加密密钥将通过电子邮件发送到gmail地址,方法是利用python的SMTP库。Cypher的新版本将使运营商可以在gmail和完成项目所附带的C&C基础设施之间进行选择,即生成和存储密钥对以及客户端id的web应用程序。如果运营商选择使用Cypher web应用程序,勒索软件将利用Mechanize lib通过HTTP联系。

在Cypher枚举了我们希望加密的文件之后,就可以使用PyCrypto libs进行实际的加密。我选择使用多处理库来加速加密过程。

最后,Cypher将写出一个README注释和客户端ID,它们必须被转发给operator才能分别检索正确的解密二进制文件和密钥。

我添加了一些逻辑,让勒索软件使用Mechanize库登录到web应用程序。到目前为止,还没有实现从web应用程序检索密钥和发布客户端ID的功能。SMTP仍然可用,并且在不久的将来根据操作员的偏好是可选的。

我正在设置一个web应用程序,作为一种可选的C&C机制,与这个项目的Python主题保持一致,我正在为web应用程序使用Django框架。提交将在适当的时候推送到回购协议。

最新版本的加密模块通过尝试用自定义引导加载程序覆盖MBR来添加bootlocker功能。应该向NO-OP推荐他在这方面的贡献。为了便于说明,我添加了源代码和boot.bin。

广泛的多平台测试。

写解密模块。

恢复MBR的功能

设计和开发更安全的C&C机制。

我非常愿意在这方面进行合作,如果您希望提供帮助,请随时提出问题或请求,我们可以讨论我们可以处理的细节和/或想法,您可能会提出建议。

注意

C&C web应用的开发暂时被推迟。如果你想获得创造性,我会推荐这个fork或这个用PHP和Laravel编写的原始web应用程序。它与Cypher兼容,只需稍加修改。

此外,似乎有人已将主Cypher文件的存根上载到Virus Total。你可以点击这里查看。为了测试的目的,我有兴趣看到Windows变体的检测率,一旦它被编码成peCloakCapstone或PeCloak之类的东西。当然,这是在使用Py2Exe或Pyinstaller将主Python文件编译为exe之后。

此外,如果你有任何拉请求提交请随时这样做。在这个勒索软件上的开源协作对我来说仍然很重要。

谢谢。