KONDORDEVSECURITYCORP/Qilin-Ransomware-Threat-Analysis

GitHub: KONDORDEVSECURITYCORP/Qilin-Ransomware-Threat-Analysis

针对 Qilin 勒索软件 Rust 变体的深度静态逆向分析报告,提供 IOC、YARA 规则、MITRE ATT&CK 映射及防御检测策略。

Stars: 0 | Forks: 0

Threat Level: Critical Family: Qilin Language: Rust Model: RaaS Analysis: Static Only

Qilin 勒索软件 — 完整威胁分析报告

针对 Qilin (Agenda) Ransomware-as-a-Service 运营者构建版本的深入静态分析与逆向工程

IDA Pro Hex-Rays Platform MITRE ATT&CK License Stars

## 概述 本仓库包含一份针对实际运行中的 Qilin 勒索软件样本(`Target.exe`)的**综合静态分析报告**,该样本是一个由 Rust 编译的企业级加密器,隶属于 **Qilin/Agenda Ransomware-as-a-Service (RaaS)** 运营活动。 该分析是在隔离的 Fedora 44 x86_64 环境中,使用 **IDA Pro 9.2 配合 Hex-Rays 反编译器**进行的。**整个过程均未执行任何恶意软件** —— 这纯粹是出于防御目的的静态/逆向工程研究。 ## 关键发现 | 属性 | 详情 | |-----------|--------| | **家族** | Qilin(前身为 "Agenda") | | **变体** | v3+(Rust 重写版本,运营者构建) | | **编译环境** | Rust → i686-pc-windows-gnu(MinGW 交叉编译) | | **加密方式** | RSA-4096 + AES-CTR(使用 AES-NI) / ChaCha20(后备) | | **传播方式** | PsExec(内置) + PowerShell(vCenter/ESXi) | | **规避手段** | 安全模式启动、沙箱检测、事件日志擦除 | | **反取证** | 剩余空间清零、自删除、日志清除 | | **MITRE ATT&CK** | 映射了涵盖 8 项战术的 22 项技术 | ## 报告内容 完整的分析报告([`ANALISIS_RANSOMWARE_QILIN.md`](./ANALISIS_RANSOMWARE_QILIN.md))涵盖: 1. **执行摘要** — 高级别的威胁评估 2. **二进制信息** — PE 头、节区、哈希值、编译元数据 3. **归属与家族** — Qilin/Agenda 团伙识别与历史 4. **内置配置** — 活动ID、RSA 公钥、加密参数 5. **恶意软件架构** — 完整的 Rust 源码树重建、crate 依赖项 6. **技术能力**(14 个小节): - 混合加密(RSA-4096 + AES-CTR/ChaCha20) - 提权至 SYSTEM - 横向移动(PsExec + vCenter/ESXi) - 卷影副本清除 - 安全模式持久化 - 进程/服务终止(65+ 个进程,50+ 个服务) - 文件解锁器(Restart Manager API) - 网络枚举与共享发现 - 存储操纵(脱机磁盘、移除只读属性) - 注册表持久化(所有用户自启动) - 反取证(事件日志、清零、自毁) - 壁纸/锁屏恐吓 - 沙箱检测 - 基于 Mutex 的单实例执行 7. **按 DLL 分类导入** — 完整的 API 映射(226 个导入) 8. **妥协指标 (IOCs)** — 哈希值、基础设施、制品、注册表项 9. **执行流程** — 完整的运行图 10. **MITRE ATT&CK 映射** — 22 项带有 ID 的技术 11. **检测建议** — YARA 规则、网络指标、端点遥测 12. **结论** — 风险评估与运行状态 ## 妥协指标 (IOCs) ### 文件哈希 | 算法 | 哈希值 | |-----------|------| | **SHA-256** | `227ecf1a779cf7c19c0db869f66abf4b43d61b3700628d1d58b6eaeafe5496ba` | | **SHA-1** | `fc3cab5aeea32162a6294cfc87fd16a81c068cfe` | | **MD5** | `1c3da2e8855da39b0259b0515407b1b9` | ### 网络基础设施 | 用途 | 域名 | |---------|--------| | 谈判面板 | `spzq5vlkhohit3gddz2vu4gxw23m7czqx3hqx63jqpprf3cgdly5tkid.onion` | | 泄露博客 #1 | `kbsqoivihgdmwczmxkbovk7ss2dcynitwhhfu5yw725dboqo5kthfaad.onion` | | 泄露博客 #2 | `ijzn3sicrcy7guixkzjkib4ukbiilwc3xhnmby4mcbccnsd7j2rekvqd.onion` | ### YARA 检测规则 完整报告中包含了用于检测此 Qilin 变体的完整 YARA 规则。 ## MITRE ATT&CK 覆盖范围 ``` ┌─────────────────────┬──────────────────────────────────────────────────┐ │ Tactic │ Techniques │ ├─────────────────────┼──────────────────────────────────────────────────┤ │ Execution │ T1059.001, T1059.003, T1569.002 │ │ Persistence │ T1547.001 │ │ Privilege Escalation│ T1134 │ │ Defense Evasion │ T1070.001, T1070.004, T1497, T1562.009 │ │ Credential Access │ T1555 │ │ Discovery │ T1057, T1007, T1135, T1018, T1082 │ │ Lateral Movement │ T1021.002, T1210 │ │ Impact │ T1486, T1490, T1489, T1529, T1491.001 │ └─────────────────────┴──────────────────────────────────────────────────┘ ``` ## 用途 本报告适用于: - **威胁情报团队** — 用于威胁追踪的 IOC、TTP 和归属数据 - **事件响应人员** — 用于活跃事件的检测指标和行为模式 - **SOC 分析师** — YARA 规则、端点遥测和网络签名 - **恶意软件研究人员** — 深入了解 Qilin 的 Rust 架构 - **安全工程师** — 防御建议和检测工程 ## 免责声明 ## 作者 **Claudio Cortez** — 安全研究员 @ [KONDORDEV SECURITY CORP](https://github.com/KONDORDEVSECURITYCORP) ## 相关研究 | 仓库 | 描述 | |------------|-------------| | [Babuk 勒索软件威胁分析](https://github.com/KONDORDEVSECURITYCORP/Babuk-Ransomware-Threat-Analysis) | 对 Babuk v1 (ECDH + ChaCha20) 的完整分析 | | [VanHelsing RaaS 面板](https://github.com/KONDORDEVSECURITYCORP/VanHelsing-RaaS-Panel) | 泄露的 RaaS 面板源码分析 | | [Lumma Stealer 分析](https://github.com/KONDORDEVSECURITYCORP/lumma-stealer-tactics-impact-and-defense-strategies) | LummaC2 取证分析与防御策略 | | [InfoStealer 威胁情报纲要](https://github.com/KONDORDEVSECURITYCORP/InfoStealer-Threat-Intelligence-Compendium) | 记录了 2024-2025 年的 10 个关键威胁 |

如果这项研究有助于提升您的安全防御态势,请考虑给它点个 ⭐

标签:DAST, DNS信息、DNS暴力破解, DNS 反向解析, YARA规则, 云安全监控, 云资产清单, 勒索软件, 可视化界面, 威胁情报, 开发者工具, 恶意软件分析, 逆向工程, 静态分析