KONDORDEVSECURITYCORP/Qilin-Ransomware-Threat-Analysis
GitHub: KONDORDEVSECURITYCORP/Qilin-Ransomware-Threat-Analysis
针对 Qilin 勒索软件 Rust 变体的深度静态逆向分析报告,提供 IOC、YARA 规则、MITRE ATT&CK 映射及防御检测策略。
Stars: 0 | Forks: 0
Qilin 勒索软件 — 完整威胁分析报告
针对 Qilin (Agenda) Ransomware-as-a-Service 运营者构建版本的深入静态分析与逆向工程
## 概述
本仓库包含一份针对实际运行中的 Qilin 勒索软件样本(`Target.exe`)的**综合静态分析报告**,该样本是一个由 Rust 编译的企业级加密器,隶属于 **Qilin/Agenda Ransomware-as-a-Service (RaaS)** 运营活动。
该分析是在隔离的 Fedora 44 x86_64 环境中,使用 **IDA Pro 9.2 配合 Hex-Rays 反编译器**进行的。**整个过程均未执行任何恶意软件** —— 这纯粹是出于防御目的的静态/逆向工程研究。
## 关键发现
| 属性 | 详情 |
|-----------|--------|
| **家族** | Qilin(前身为 "Agenda") |
| **变体** | v3+(Rust 重写版本,运营者构建) |
| **编译环境** | Rust → i686-pc-windows-gnu(MinGW 交叉编译) |
| **加密方式** | RSA-4096 + AES-CTR(使用 AES-NI) / ChaCha20(后备) |
| **传播方式** | PsExec(内置) + PowerShell(vCenter/ESXi) |
| **规避手段** | 安全模式启动、沙箱检测、事件日志擦除 |
| **反取证** | 剩余空间清零、自删除、日志清除 |
| **MITRE ATT&CK** | 映射了涵盖 8 项战术的 22 项技术 |
## 报告内容
完整的分析报告([`ANALISIS_RANSOMWARE_QILIN.md`](./ANALISIS_RANSOMWARE_QILIN.md))涵盖:
1. **执行摘要** — 高级别的威胁评估
2. **二进制信息** — PE 头、节区、哈希值、编译元数据
3. **归属与家族** — Qilin/Agenda 团伙识别与历史
4. **内置配置** — 活动ID、RSA 公钥、加密参数
5. **恶意软件架构** — 完整的 Rust 源码树重建、crate 依赖项
6. **技术能力**(14 个小节):
- 混合加密(RSA-4096 + AES-CTR/ChaCha20)
- 提权至 SYSTEM
- 横向移动(PsExec + vCenter/ESXi)
- 卷影副本清除
- 安全模式持久化
- 进程/服务终止(65+ 个进程,50+ 个服务)
- 文件解锁器(Restart Manager API)
- 网络枚举与共享发现
- 存储操纵(脱机磁盘、移除只读属性)
- 注册表持久化(所有用户自启动)
- 反取证(事件日志、清零、自毁)
- 壁纸/锁屏恐吓
- 沙箱检测
- 基于 Mutex 的单实例执行
7. **按 DLL 分类导入** — 完整的 API 映射(226 个导入)
8. **妥协指标 (IOCs)** — 哈希值、基础设施、制品、注册表项
9. **执行流程** — 完整的运行图
10. **MITRE ATT&CK 映射** — 22 项带有 ID 的技术
11. **检测建议** — YARA 规则、网络指标、端点遥测
12. **结论** — 风险评估与运行状态
## 妥协指标 (IOCs)
### 文件哈希
| 算法 | 哈希值 |
|-----------|------|
| **SHA-256** | `227ecf1a779cf7c19c0db869f66abf4b43d61b3700628d1d58b6eaeafe5496ba` |
| **SHA-1** | `fc3cab5aeea32162a6294cfc87fd16a81c068cfe` |
| **MD5** | `1c3da2e8855da39b0259b0515407b1b9` |
### 网络基础设施
| 用途 | 域名 |
|---------|--------|
| 谈判面板 | `spzq5vlkhohit3gddz2vu4gxw23m7czqx3hqx63jqpprf3cgdly5tkid.onion` |
| 泄露博客 #1 | `kbsqoivihgdmwczmxkbovk7ss2dcynitwhhfu5yw725dboqo5kthfaad.onion` |
| 泄露博客 #2 | `ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion` |
### YARA 检测规则
完整报告中包含了用于检测此 Qilin 变体的完整 YARA 规则。
## MITRE ATT&CK 覆盖范围
```
┌─────────────────────┬──────────────────────────────────────────────────┐
│ Tactic │ Techniques │
├─────────────────────┼──────────────────────────────────────────────────┤
│ Execution │ T1059.001, T1059.003, T1569.002 │
│ Persistence │ T1547.001 │
│ Privilege Escalation│ T1134 │
│ Defense Evasion │ T1070.001, T1070.004, T1497, T1562.009 │
│ Credential Access │ T1555 │
│ Discovery │ T1057, T1007, T1135, T1018, T1082 │
│ Lateral Movement │ T1021.002, T1210 │
│ Impact │ T1486, T1490, T1489, T1529, T1491.001 │
└─────────────────────┴──────────────────────────────────────────────────┘
```
## 用途
本报告适用于:
- **威胁情报团队** — 用于威胁追踪的 IOC、TTP 和归属数据
- **事件响应人员** — 用于活跃事件的检测指标和行为模式
- **SOC 分析师** — YARA 规则、端点遥测和网络签名
- **恶意软件研究人员** — 深入了解 Qilin 的 Rust 架构
- **安全工程师** — 防御建议和检测工程
## 免责声明
## 作者
**Claudio Cortez** — 安全研究员 @ [KONDORDEV SECURITY CORP](https://github.com/KONDORDEVSECURITYCORP)
## 相关研究
| 仓库 | 描述 |
|------------|-------------|
| [Babuk 勒索软件威胁分析](https://github.com/KONDORDEVSECURITYCORP/Babuk-Ransomware-Threat-Analysis) | 对 Babuk v1 (ECDH + ChaCha20) 的完整分析 |
| [VanHelsing RaaS 面板](https://github.com/KONDORDEVSECURITYCORP/VanHelsing-RaaS-Panel) | 泄露的 RaaS 面板源码分析 |
| [Lumma Stealer 分析](https://github.com/KONDORDEVSECURITYCORP/lumma-stealer-tactics-impact-and-defense-strategies) | LummaC2 取证分析与防御策略 |
| [InfoStealer 威胁情报纲要](https://github.com/KONDORDEVSECURITYCORP/InfoStealer-Threat-Intelligence-Compendium) | 记录了 2024-2025 年的 10 个关键威胁 |
如果这项研究有助于提升您的安全防御态势,请考虑给它点个 ⭐
标签:DAST, DNS信息、DNS暴力破解, DNS 反向解析, YARA规则, 云安全监控, 云资产清单, 勒索软件, 可视化界面, 威胁情报, 开发者工具, 恶意软件分析, 逆向工程, 静态分析