Aggregator

在一般的软件中，我们逆向分析时候通常都不能直接看到软件的明文源代码，或多或少存在着混淆对抗的操作。下面，我会实践操作一个例子从无从下手到攻破目标。

1. 花指令对抗

2. 虚函数表

3. RC4

题目载体为具有漏洞的小型软件，部分题目提供源代码，要求攻击者发现并攻击软件中存在的漏洞。

首先拿到这道题目,查壳看架构,elf64

放到虚拟机中运行一下

ida64反编译，发现软件进行了去符号处理，最直白就是没有main()函数。

但是ida自动帮我们定位到了系统入口函数start()。

然后我们查字符串 plz、wrong，均无法查到相关字符串

可见程序对静态分析做了很大的操作，防止一眼顶真。

然后我们回到系统入口函数start，F5反编译。

程序无法完全反编译，并且发现init和fini均无法正常识别。

进入main函数，即sub_405559()，无可用信息。

看汇编

很明显，程序做的混淆对抗是加了花指令。

花指令实质就是一串垃圾指令，它与程序本身的功能无关，并不影响程序本身的逻辑。在软件保护中，花指令被作为一种手段来增加静态分析的难度。

花指令关键在于对堆栈变化以及函数调用的操作。强硬的动态调试能力也可以无视花，直接en看。

对于此花指令，我们只需要将call $+5、 retn nop 即可

（该软件的每个有用的function都加入了此花指令）

此时F5反编译,程序明显可读了

我们重命名一下，方便理解

可见程序还使用了虚函数重定位的技术。

下面我们进行动态调试，具体跟进函数。

F7进入

又发现了花，我们nop掉

然后进入下一个函数进行重复的操作

再往下程序结束，但是我们并没有看到密文比较的地方。

我们对rc4的两个函数进行交叉引用，看哪里调用了他们呢

.data.rel.ro

这个节段是只读数据段的重定位段，在链接时重定位，里面放的就是我们的虚函数表。

看到下面还有一个sub_405CAA(),我们点击跟进。

至此，我们找到了程序的所有逻辑。

提取密文

25CD54AF511C58D3A84B4F56EC835DD4F6474A6FE073B0A5A8C317815E2BF4F671EA2FFFA8639957

提取密钥

921C2B1FBAFBA2FF07697D77188C

rc4_enc()函数还有个 ^23

得解。

近日，360数字安全集团以全年监测、分析与处置的勒索软件事件为基础，结合国内外相关一线数据和新闻报道进行研判、梳理与汇总，重磅发布《2024年勒索软件流行态势报告》（以下简称“报告”），全面展现勒索软件的传播与演化趋势，深入推演未来发展风向，助力政企机构数字安全的体系化建设，以高效抵御勒索风险。

Web漏洞成勒索软件“新宠”

多重勒索模式致数据泄露风险激增

报告指出，2024年虽未出现单一勒索家族在短时间内的大规模爆发性攻击事件，但勒索软件仍是当前政企机构面临的头号安全风险。360基于安全大模型赋能，全年共处理超过2151例勒索攻击求助，发现77个新勒索家族，拦截43.1亿次网络暴破攻击，保护近270万台设备免遭入侵，协助约3996台设备完成勒索解密。

从勒索软件家族分布上看，传统家族技术与传播手段更迭迅速，新兴家族势头强劲，持续带来严重安全风险。其中，TargetCompany (Mallox)家族通过引入新的传播手段，成功跃升为年度传播量最广泛的勒索软件家族；Makop和Phobos两大老牌家族凭借其稳定的技术与渠道优势，分列年度榜单二三位置，三大勒索家族族的反馈占比近六成。RNTC和Anony等新兴家族，则以创新的攻击手段迅速崭露头角，首次出现即进入年度Top10榜单。

从传播方式上看，远程桌面入侵仍是导致用户中招勒索软件的主要途径；而利用漏洞对目标网络实现入侵的占比同比往年增长迅猛，与远程桌面入侵相差无几。其中，Web漏洞成为众多勒索软件家族的“新宠”，这也导致许多依赖Web服务的企业OA系统、财务软件和管理软件成为政企单位遭受勒索攻击的主要入口。

近年来，双重勒索或多重勒索模式风靡，勒索软件所带来的数据泄露风险也越来越大。2024 年参与双重/多重勒索活动的主要活跃勒索软件家族共计94个，家族总量与2023年相比有显著增加。

此外，360对全年勒索软件赎金进行跟踪发现，勒索软件攻击的规模和赎金要求达到了前所未有的水平，多家勒索软件家族在成功攻击后开出了超过千万美元的赎金。其中，Dark Angels家族向美国知名药品公司Cencora提出了7500万美元赎金诉求，并最终勒索成功，这可能是目前全球最大的一笔勒索软件成交案例。这表明勒索软件团伙的攻击目标更具针对性，赎金金额也愈发惊人。

Win10系统受灾严重

桌面PC成主要受害系统类型

360对2024年遭受勒索软件攻击的受害者人群进行分析发现，广东、山东、江苏等数字经济发达和人口密集地区仍是攻击的主要对象。

互联网及软件、制造业、批发零售是国内勒索软件攻击的主要目标，而金融行业所面临的威胁也有显著提升，已紧随其后位于榜单的第四名。

受攻击系统分布上，位居前三的系统为Windows 10、Windows Server 2008 和 Windows Server 2012。其中，Windows 10系统占比增长明显，这可能与该系统巨大的装机量，以及承载着大多中小企业的管理系统部署关联紧密。

从操作系统类型的角度看，受到Web漏洞入侵手段增加和Windows 10占比激增的双重影响，桌面PC的占比出现大幅提高。因此，针对政企目标的攻击依旧是勒索软件演变的发展趋势。

受到2024年勒索攻击的受害者身份及攻击者入侵手段的双重影响，办公文档和数据库数据依然分列受害者最“在乎”的被加密数据类型排名前两位，这一情况与2023年基本相同。

AI技术普及带来巨大变革

创新是抵御勒索风险的关键方法

基于2024年中勒索软件的传播与演化趋势，报告进一步指出了未来勒索软件的发展方向，以及防御策略。 

一是AI技术的普及将为勒索攻击与安全防护带来巨大变革。一方面，黑客和攻击者已经在借助AI发起更加高效、复杂、隐蔽的网络攻击，勒索病毒自动化能力大幅提升，便是AI应用在网络攻击中的一个重要体现。另一方面，借助AI技术可以训练安全大模型，实现在离线环境中执行高效的安全分析和攻击识别，不再依赖于实时更新的情报资源；同时，AI技术在安全领域的应用可以使复杂的任务能够被自动化处理，大幅降低了政企机构安全运维的难度，这目前这一方案已经开始在360安全产品中验证并使用。

二是专业化、规模化、系统化的勒索软件攻击让中小企业面临的威胁加剧。解决这一问题的关键在于加强安全管理，但对于资源有限的中小企业而言，服务器的安全运维是一个亟待解决的现实问题。为应对这一挑战，中小企业可以考虑采用第三方托管服务（SaaS解决方案），提升其安全运维能力。通过与经验丰富的安全团队合作，企业可以更高效地识别、响应并防御安全威胁，从而以较低成本增强安全防护水平。

三是在与勒索软件攻击的对抗过程中，创新始终是打破平衡，实现突破的关键方法。作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。基于过去20年积累的安全大数据、实战对抗经验，以及全球顶级安全专家团队等优势能力，360推出基于安全大模型赋能的勒索病毒防护解决方案，能够针对勒索病毒从攻击前、攻击中到攻击后的每一个主要节点进行定向查杀，实现多方位、全流程、体系化、智能化的勒索防护。

· 让病毒进不来：在终端、流量侧部署360探针产品，通过互联网入口检测阻断等主动防御功能，能够在病毒落地时进行查杀拦截；

· 让病毒散不开：由360安全大模型支撑，对勒索病毒的异常加密行为和横向渗透攻击行为，进行智能化分析拦截和检测阻断，实现“一点发现，全网阻断”；

· 让病毒难加密：通过终端安全探针结合云端情报赋能，利用安全大模型的溯源分析能力，能够精准判断勒索病毒身份，并进行反向查杀；同时内置文档备份机制，可无感知备份日常办公文档和敏感业务数据，对备份区文件进行全面保护，不允许第三方程序对备份区进行非授权操作，从而阻断勒索病毒对备份区的加密行为；

· 加密后易恢复：该方案内置大量360独家文档解密工具及云端解密平台，云端支持1000+类勒索文件解密、本地支持100+类勒索文件解密，能够实现加密后的全方位恢复工作。

目前，360勒索病毒防护解决方案针对不同客户体量与需求推出多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助。其中，基于全网安全大数据视野，360为监管、政企机构打造的勒索预警订阅服务，全年共计捕获勒索攻击事件线索5863起，涉及受害单位2148家，确认勒索病毒家族59个，攻击IP来源地涉及境外54个国家或地区，配合监管输出勒索攻击事件线索658起，覆盖全国多个地区，帮助广大政企单位构建多层次纵深防御能力，实现多方位、全流程、体系化的勒索防护。