一种新的勒索软件变种,采用Go 语言编写,使用ChaCha20进行加密,并使用ECIES进行安全密钥传输,加密用户数据并修改系统壁纸。其开发者EvilByteCode曾开发过多种攻击性安全工具,现已在 GitHub 上公开 EByte 勒索软件。尽管该勒索软件声称仅用于教育目的,但滥用可能会导致严重的法律后果,例如,该勒索软件能够建立持久性、执行未经授权的命令并通过 C2 基础设施进行通信,从而构成重大的网络安全风险。
介绍
CYFIRMA 观察到一种用 Go 开发的新型开源勒索软件“Ebyte Ransomware”,该软件已在 GitHub 上分享,旨在针对 Windows 系统,采用高级加密方法(并为加密文件添加独特的文件扩展名)。
| 目标技术 | 视窗 |
|---|---|
| 加密文件扩展名 | .EByteLocker |
| 赎金票据文件 | 解密说明.txt |
| 联系方式 | 电子邮件 |
| 基于 | Prince 勒索软件 |
| 编程语言 | 去 |
该勒索软件利用ChaCha20和ECIES加密的组合来安全锁定文件,使其无法通过传统恢复方法恢复,只能使用指定的解密器进行解密。
分析
主服务器.go
这个 Go 程序为Ebyte-Locker应用程序搭建了一个 Web 服务器,使用 database.InitDB() 初始化数据库连接,确保数据持久化。http.FileServer 从 ./frontend 目录提供静态前端文件。多个 API 端点(/dashboard-data、/launch、/graph-data、/mini-graphs-data 和 /generate-locker)分别由处理程序包中的相应函数处理。服务器监听 8080 端口,启动时记录日志,如果服务器启动失败,则记录任何致命错误(hXXp://localhost[:]8080)。
基于 Web 的控制面板
执行 – 用户执行:恶意文件: /launch 和 /generate-locker 端点的存在表明可能生成可执行有效载荷。一旦被利用,这些端点将允许攻击者在目标系统上执行未经授权的代码。恶意行为者利用此功能部署勒索软件锁。
持久性 – 服务器软件组件: Web 服务器一旦启动,便会持续运行并持续处理传入请求。如果配置为允许未经授权的访问,攻击者便可以通过远程提供有效载荷或执行命令,在受感染的环境中保持持久性。数据库 (database.InitDB()) 负责确保数据的持久性,而这些数据可能被滥用来存储攻击者控制的配置(或维护访问凭据)。
命令与控制 – 应用层协议: API 端点(例如 /dashboard-data、/graph-data 和 /mini-graphs-data)促进结构化数据交换,并可用于窃取数据、接收命令或在受感染系统与攻击者的 C2 基础设施之间建立通信。使用 HTTP 进行通信与 C2 技术相符,攻击者会使用标准 Web 流量来混入合法活动。
**防御规避 – 主机上的指标删除:**如果数据库包含日志或操作数据,则此应用程序的受感染版本可能会被操纵以删除或更改日志,从而阻止取证分析。拥有数据库操作权限的攻击者可以修改存储的数据以隐藏恶意活动。
加密执行(main.go)
**锁屏ID传输:**将唯一的锁屏ID和时间戳发送到远程服务器(例如:hXXp://localhost[:]8080/launch)。这用于追踪感染或远程管理解密密钥。
**驱动器扫描和加密:**检测所有可用驱动器(C:,D:等)并使用 filewalker.EncryptDirectory() 在每个驱动器中递归加密文件。
**壁纸修改:**通过 PowerShell 下载勒索壁纸,并使用 Windows API(user32.dll)将其设置为桌面背景。
安全风险和影响
**全盘加密:**加密除系统关键文件之外的所有文件,使用户数据无法访问。
**持久性和 C2 通信:**将受害者数据发送到控制服务器,可能允许远程跟踪。
**逃避检测:**排除可执行文件和系统文件,减少触发防病毒软件的机会。
加密器
EByte Locker旨在加密系统文件并修改桌面壁纸。以下是其主要功能的细分:
配置模块(配置包)
**排除的文件和目录:**勒索软件避免加密关键系统文件(boot.ini、bootmgr 等)和系统目录(windows、system32 等),以确保系统稳定性,同时瞄准用户数据。
**加密扩展:**加密后文件以“.EByteLocker”扩展名重命名。
EByte 勒索软件加密文件的屏幕截图
**赎金提示“解密说明.txt”:**一条预先定义的赎金信息告知受害者,他们的文件已被加密,只有支付加密货币赎金才能恢复。该信息警告受害者不要修改或重命名加密文件,因为这可能会导致文件无法恢复。该信息还提供了一个电子邮件地址,供受害者联系攻击者并协商付款。
EByte 赎金通知(解密说明.txt)
**壁纸修改:**从远程 URL 下载 Ebyte-Locker 勒索壁纸 [当前不可用]。
壁纸更换截图
加密模块(加密包)
文件加密:
使用ChaCha20流密码进行加密 [ChaCha20 的基于流的方法允许逐字节加密,实现 1 字节加密、2 字节未加密的模式。]
加密密钥**和随机数使用****椭圆曲线集成加密方案 (ECIES)**生成并加密,以实现安全传输 [ECIES 提供与 RSA 类似的安全性,但密钥长度更短,因此是更有效的选择] [例如:1740114202992611500 ]
勒索软件读取文件,分块加密其内容,然后覆盖它。
加密密钥和随机数与加密文件数据一起存储。
解密器
EByte-Rware-Decryptor旨在逆转EByte Locker 执行的加密。
配置模块(配置包)
**排除目录:**由于程序跳过加密,它也会跳过关键系统目录(例如 Windows、System32、程序文件)的解密。
私钥:存储ECIES 私钥,该密钥对于解密文件至关重要。
**加密扩展:**该工具针对带有“ .EByteLocker ”扩展名的文件。
解密模块(解密包)
读取加密文件:打开目标文件,读取加密内容,提取加密密钥、加密随机数和密文。这些组件预先以结构化格式存储,并以 || 分隔。
解密密钥和随机数:使用ECIES(椭圆曲线集成加密方案)通过存储的私钥解密加密密钥和随机数。
逆向加密(ChaCha20解密):使用解密的密钥和随机数初始化ChaCha20密码,应用****XOR运算解密密文,并恢复原始文件内容。
恢复解密文件:用解密内容覆盖加密文件,并确保正确截断和文件写入以保持完整性。
**递归解密:**调用filewalker.DecryptDirectory(“/”),解密系统中的所有文件。
壁纸恢复:将系统壁纸重置为默认位置(C:WindowsWebWallpaperWindowsimg19.jpg),使用PowerShell和**Windows API(user32.dll)**恢复勒索软件的自定义壁纸。
外部威胁形势管理
Sryxen(又名 ThunderKitty 窃取程序、ThunderKitty 勒索软件、Shellcode Loader 和其他多个项目)的开发者开发了名为 Ebyte 的新勒索软件,并在 GitHub 上公开发布。
该开发人员自 2023 年以来一直活跃,并且了解 C、C++、go、D 等多种语言。
开发者“EvilByteCode”自称是紫队网络安全爱好者。
开发人员有一个目前不活跃的 Telegram 频道和一个拥有超过 174 名成员的活跃 Discord 频道。
仪表板提供有关解锁聊天、登录和其他功能的信息。用户可以通过 Telegram 联系作者购买源代码,用于教育和研究目的。
EByte Locker 已被确认为受 Prince Ransomware 启发的勒索软件变种,其作者明确表示 Prince Ransomware 是其基础。
编程语言和加密: Prince 和 EByte Locker 均用 Go 语言编写,并采用 ChaCha20 和 ECIES 加密算法。
**类似的勒索信和联系信息:**两种勒索软件变体中的勒索信在结构和联系电子邮件 ID 上有相似之处。
**相同的勒索信格式:**两种勒索软件变体都将勒索信保存在同一个文件名“解密说明.txt”下。
**勒索软件壁纸信息一致:**两款勒索软件的壁纸都显示相同的警告:“您的所有重要文档均已加密。要解密,请找到“解密说明.txt”。
MITER攻击框架
| MITRE 策略名称 | 技术编号 | 技术 |
|---|---|---|
| 执行 | T1059 | 命令和脚本解释器 |
| T1106 | 原生 API | |
| T1129 | 共享模块 | |
| 持久性 | T1505.003 | 服务器软件组件 |
| T1574 | 劫持执行流程 | |
| 权限提升 | T1055 | 进程注入 |
| T1548 | 滥用提升控制机制 | |
| 防御规避 | T1006 | 直接卷访问 |
| T1027 | 混淆的文件或信息 | |
| T1027.002 | 软件打包 | |
| T1027.004 | 交付后编译 | |
| T1140 | 反混淆/解码文件或信息 | |
| T1222 | 文件和目录权限修改 | |
| T1497.001 | 系统检查 | |
| T1542.003 | 启动工具包 | |
| T1564 | 隐藏文物 | |
| T1564.001 | 隐藏文件和目录 | |
| T1564.003 | 隐藏窗口 | |
| T1070.004 | 主机上的指示器删除 | |
| 发现 | T1010 | 应用程序窗口发现 |
| T1016 | 系统网络配置发现 | |
| T1018 | 远程系统发现 | |
| T1057 | 流程发现 | |
| T1082 | 系统信息发现 | |
| T1083 | 文件和目录发现 | |
| T1497.001 | 系统检查 | |
| T1518 | 软件发现 | |
| 指挥与控制 | T1071 | 应用层协议 |
| T1573 | 加密通道 | |
| 影响 | T1486 | 加密数据以应对影响 |
| T1496 | 资源劫持 | |
| T1485 | 数据销毁 |
结论
EByte 勒索软件代表着一种新兴威胁,它利用强大的加密技术和持久机制来入侵系统。尽管它被贴上了教育项目标签,但其公开发布仍引发了人们对威胁行为者可能滥用的担忧。该勒索软件的功能(包括文件加密、C2 通信和规避技术)凸显了采取主动网络安全措施的必要性。组织应注重定期备份、端点安全和用户安全意识培训,以防御此类威胁。持续监控和威胁情报对于领先于不断演变的勒索软件策略至关重要。
![[开源/6.18更新]WELearn一键刷课/刷学习时长,支持学习指定单元 - 宋马](https://pic.songma.com/blogimg/20250422/e033a0ab73f9427f8628881f8f2c092e.png)
暂无评论内容