Upgrade to Pro — share decks privately, control downloads, hide ads and more …

UCCU Monthly Talk: Ransomware

Avatar for NotSurprised NotSurprised
September 30, 2018
Research
140
0

UCCU Monthly Talk: Ransomware

Attack & Defend between Black hat & White hat. Characteristic ransomware families.

Avatar for NotSurprised

NotSurprised

September 30, 2018

More Decks by NotSurprised

See All by NotSurprised
iThome2024 Wailing Wall of Enterprise Security
Avatar for NotSurprised notsurprised
0
510
NSYSU ISC 2021 Internet Of Things
Avatar for NotSurprised notsurprised
0
170
IRCON2021-Mediatek-ActiveDirectory-Hardening
Avatar for NotSurprised notsurprised
0
180
iThome2021 Its Okay to be Old Driver
Avatar for NotSurprised notsurprised
1
830
Xmas2020-Its-Okay-to-be-Old-Driver
Avatar for NotSurprised notsurprised
1
330
NCU2020 Information Security 101
Avatar for NotSurprised notsurprised
0
150
iThome CyberSec2020-Chaos Of Vehicle Communications
Avatar for NotSurprised notsurprised
3
790
Becks.io#5 Get start to Old Driver in Windows Kernel
Avatar for NotSurprised notsurprised
2
1.7k
MOPCON2019 Chaos of Vehicle Communications
Avatar for NotSurprised notsurprised
1
500

Other Decks in Research

See All in Research
「AIとWhyを深堀る」をAIと深堀る
Avatar for なつ iflection
0
370
コーディングエージェントとABNを再考
Avatar for Hironobu Fujiyoshi hf149
2
550
正規分布と最適化について
Avatar for koide3 koide3
0
170
社内データ分析AIエージェントを できるだけ使いやすくする工夫
Avatar for Yusuke Fukasawa fufufukakaka
1
1.1k
COFFEE-Japan PROJECT Impact Report(Uminomukou Coffee)
Avatar for 坂ノ途中 ontheslope
0
120
R&Dチームを起ち上げる
Avatar for shibuiwilliam shibuiwilliam
1
240
Can We Teach Logical Reasoning to LLMs? – An Approach Using Synthetic Corpora (AAAI 2026 bridge keynote)
Avatar for もりし morishtr
1
220
SREはサイバネティクスの夢をみるか? / Do SREs Dream of Cybernetics?
Avatar for Yuuki Tsubouchi (yuuk1) yuukit
3
490
ScoreMatchingRiesz for Automatic Debiased Machine Learning and Policy Path Estimation with an Application to Japanese Monetary Policy Evaluation
Avatar for MasaKat0 masakat0
0
260
2026 東京科学大 情報通信系 研究室紹介 (大岡山)
Avatar for Tokyo Tech ICT Dept. icttitech
0
3.2k
ウェブ・ソーシャルメディア論文読み会 第36回: The Stepwise Deception: Simulating the Evolution from True News to Fake News with LLM Agents (EMNLP, 2025)
Avatar for taichi_murayama hkefka385
0
220
Aurora Serverless からAurora Serverless v2への課題と知見を論文から読み解く/Understanding the challenges and insights of moving from Aurora Serverless to Aurora Serverless v2 from a paper
Avatar for bootjp / ぶーと bootjp
6
1.7k

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
1
440
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
180
What’s in a name? Adding method to the madness
Avatar for The Alliance productmarketing
PRO
24
4k
Jess Joyce - The Pitfalls of Following Frameworks
Avatar for Tech SEO Connect techseoconnect
PRO
1
150
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
230
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
55k
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
130
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
370
Lightning talk: Run Django tests with GitHub Actions
Avatar for Sarah Abderemane sabderemane
0
180
KATA
Avatar for Megan Lloyd mclloyd
PRO
35
15k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k

Transcript

  1. NotSurprised @ UCCU [email protected]

  2. > NotSurprised • ITRI engineer • UCCU hacker • 中山資管五年學碩士

    Email : [email protected]

  3. > • Background • Attack & Defend • Families •

    Attack Flow

  4. > • Rasomware = rasom + ware Hardware↓ Software↓

  5. > • 2013末開始活動的CryptoLocker在遭瓦解以前取得估計約三百萬美 元的贖金。 • 2014年開始的CryptoWall,被美國聯邦調查局估計在2015年6月以 前獲得超過一百八十萬美元的贖金。 • 根據FBI在2016年八月的保守估計指出,2016年前半年中,全球勒索 軟體造成的總損失約超過十億美元。

    • 2016年所發現的勒索軟體的變種數量相較2015年提升了30倍,趨勢 科技則預估2017年會有勒索軟體的數量還會再上升25個百分比。 • Spam、Botnet、ExploitKits為勒索軟體散布主要途徑。2016年臺 灣的資安威脅當中,勒索軟體橫據前十大。2015年度臺灣面臨垃圾 郵件嚴重性亦是全球第三名,殭屍網路受害度是全球第三名。

  6. > • 罪犯們過往所使用的收益來源開始減少而須發展新的業務。 Payment Card Price Single credit card $0.5

    - $30 Single credit card with full details(Fullz) $20 - $60 Dump ofmagnetic strip track 1&2&PIN $60 - $100 Malware Price Basic banking Trojan kit with support $100 Password stealing Trojan $25 - $100 Android banking Trojan $200 Office macro downloader generator $5 Malware crypter service(make hard to detect) $20 - $40 Ransomware kit $10 - $1800

  7. > • 以加密受害者檔案進而向受害者取材的「加密型勒 索軟體」因為可以從大眾取財而從2015年逐漸興起。 • Ransomware As A Service(RaaS) –

    FreeBuilder(抽成) – Buy&OwnIt(買斷) • 促使勒索軟體成型技術 – 加密 – TOR 網路 – 虛擬貨幣

  8. > source: 賽門鐵克22期資安威脅報告

  9. >

  10. > 感染 執行 回傳密鑰 加密 勒索 解密 1. 2. 3.

    4. 5. 6.
  11. None

  12. >

  13. > https://nakedsecurity.sophos.com/

  14. > source: arstechnica

  15. None
  16. None

  17. > HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

  18. None

  19. > • Domain Generation Algorithms source: TBA

  20. > • Domain Generation Algorithms source: TBA

  21. None
  22. None

  23. > • before

  24. > • before

  25. >

  26. >

  27. None

  28. > FileType Entropy bmp 6.788300 csv 4.697166 doc 7.259363 exe

    5.613385 flv 7.554590 gif 7.911703 jpg 7.798882 mdb 2.441063 mp3 7.151258 mp4 7.939008 mpg 6.128895 pdf 7.697560 png 7.966582 pptx 7.934213 txt 4.438976 wmv 7.882758 xls 5.240721

  29. > FileType 與原檔相比最低增長百分比 bmp 5.69693 csv 54.69678 doc 14.44780 exe

    18.63822 flv 0.98877 gif 0.06082 jpg 0.95870 mdb 477.10130 mp3 2.10027 mp4 1.79505 mpg 0.11939 pdf 0.42120 png 0.14043 pptx 0.06016 txt 65.68895 wmv 0.82240 xls 91.89547
  30. None
  31. None

  32. >

  33. > source: TBA

  34. ──

  35. > 非用Android平台之瀏覽器的訪問會被阻卻 source: bitdefender

  36. > 來自Android平台訪問將到向新頁並自動下載 source: bitdefender

  37. > 安裝並請求權限。 這必須靠社交工程,但 是Reveton假冒警察的 經驗可謂豐富。 source: bitdefender

  38. > 重開機會自行啟動 或受害者自動點擊App 則啟動。 註: 右上為法國昔任總統Hollande source: bitdefender

  39. > • 鎖定31國並因地制宜。 source: bitdefender

  40. > • 鎖定31國並因地制宜。 source: bitdefender

  41. > • 鎖定31國並因地制宜。 source: bitdefender

  42. ──

  43. > 威脅將資料公開 source: trendmicro

  44. > 加入我們的共犯結構,有50%抽成喔~ source: trendmicro

  45. > 加入我們的共犯結構,有50%抽成喔~

  46. ──

  47. 首發先例提供顧客諮詢服務的TeslaCrypt • Customer Service 先送試用包 > source: fireeye

  48. > • Customer Service 後續請購買完整版 source: fireeye

  49. > • Customer Service 後續請購買完整版 source: fireeye

  50. > • Customer Service 客服中心-您的解密好朋友 source: fireeye

  51. > • Customer Service 客服中心-您的解密好朋友 回應嗆聲: source: fireeye

  52. > • Customer Service 客服中心-您的解密好朋友 討價還價: source: fireeye

  53. > • Customer Service 客服中心-您的解密好朋友 售後服務: 被洗臉: source: fireeye

  54. > Tesla的殞落 • 在Tor付款網站上認錯道歉公開金鑰並宣稱關閉專案。 source: threadpost

  55. > • ESET已經取得這個解密金鑰,並且釋出了解密工具。 source: threadpost

  56. ( ) ──

  57. > source: wubingdu

  58. > source: malwarebytes

  59. > source: malwarebytes

  60. > Exploit Kits • RIG-v EK • RIG EK (standard)

    • RIG-E (Empire Pack) • Sundown EK • Bizarro Sundown EK • Magnitude EK • Neutrino-v EK

  61. ──

  62. >

  63. ──

  64. > • 木馬在網絡上設置了一個開關,當本地計算機能夠成功訪問 http://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com時,退出 進程,不再進行傳播感染。

  65. > • Microsoft Server Message Block 1.0 (SMBv1) server handles

    certain requests • tcp port 445 • srvnet在接收包的時候就會在a1字節後存放0xffdff000指 標,而0xffdff000這個地址存入客戶端發送來的資料。 • srv.sys 在處理 SrvOs2FeaListSizeToNt 的時候邏輯不正 確導致複製貼上越界覆蓋,造成可執行shellcode。 unsigned int __fastcall SrvOs2FeaListSizeToNt(int pOs2Fea) { …… Length = *(_DWORD *)pOs2Fea; …… *(_WORD *)pOs2Fea = pBody - pOs2Fea; …… }

  66. ──

  67. > • USB Worm

  68. >

  69. None
  70. None

  71. >

  72. > • 加殼技術: – 一種對EXE檔案的數據壓縮及加密保護,可自我解壓檔案,並能隱藏解壓 進程。 • 混淆技術: – 將程式的代碼,轉換成一種功能上等價,但是難於閱讀和理解的形式。

    • 2006年時就有80%~90%的惡意軟體使用加殼技術,其中50%使用 大眾技術或舊加殼,但相信現在這比率更高。使用Entropy、 Signature、 PE header偵測加殼等方式皆有缺陷。防毒軟體對於任 何新出的加殼技術防禦能力較低。 • 混淆是所有良性軟體開發者與惡意軟體開發者的基本要求,一定程度 的混淆能減少開發技術被解譯拷貝竊取。

  73. > 加殼技術 混淆技術

  74. >

  75. None

  76. >

  77. >

  78. >

  79. >

  80. None