SKAs 全稱 （SystemKernel-APIs）即 系統(tǒng)內(nèi)核應(yīng)用程序入口點(diǎn)

這種病毒可以獲得由系統(tǒng)提供底層支持的 Token權(quán)限，因此就算你拿到樣本，也不要在虛擬機(jī)嘗試運(yùn)行，后面告知你為什么不要這么做。

1.病毒由VB.net編寫(xiě) .net版本為2.0? ，除特殊情況外，基本所有系統(tǒng)都可以運(yùn)行

2.這個(gè)病毒不需要反匯編，作者公布了源代碼在GitHub上面（跟MEMZ一樣）基于開(kāi)發(fā)平臺(tái)VisualStudio2017

3.癥狀

3.1：運(yùn)行后首先進(jìn)行Token提權(quán)，然后篡改MBR/GPT的前511字節(jié)，接下來(lái)格式化所有硬盤(pán)除正在使用的C或X盤(pán)之類(lèi)的，重復(fù)燒寫(xiě)MBR/GPT所在扇區(qū)（這樣會(huì)導(dǎo)致整塊硬盤(pán)報(bào)廢掉），檢測(cè)網(wǎng)絡(luò)連接，有的話啟動(dòng)二級(jí)攻擊，否則不開(kāi)啟二級(jí)攻擊（這個(gè)主要是對(duì)付云查殺的"全網(wǎng)拉黑"）

3.2：二級(jí)攻擊：結(jié)束所有非系統(tǒng)關(guān)鍵進(jìn)程，創(chuàng)建新的線程，在新的線程上面運(yùn)行烤機(jī)軟件（BitCoin挖礦），在都完成之后，殺死所有系統(tǒng)進(jìn)程，包括System進(jìn)程（ntoskrnl.exe），不過(guò)是先結(jié)束的LSASS.exe（主機(jī)安全策略管理程序，就是管權(quán)限的），這樣無(wú)法手動(dòng)關(guān)機(jī)了，也無(wú)法退出賬戶、注銷(xiāo)，然后又結(jié)束了winlogon.exe（用戶登錄程序），這兩個(gè)是相反的，一個(gè)要往里面登入，一個(gè)拒絕登入，就會(huì)引發(fā)灰屏（BBOD）而不是（BSOD）藍(lán)屏，然后直接內(nèi)存溢出，斷電重啟，此時(shí)MBR已被修改，系統(tǒng)已經(jīng)無(wú)法啟動(dòng)

4.為什么不讓大家運(yùn)行/評(píng)測(cè)？

首先，大家已經(jīng)知道了這個(gè)病毒會(huì)反復(fù)擦寫(xiě)MBR/GPT的扇區(qū)，而恰好MBR/GPT這個(gè)扇區(qū)的壽命擦寫(xiě)次數(shù)也不過(guò)1000次，他里面必須要有分區(qū)表才可以當(dāng)做 主/副 硬盤(pán)來(lái)使用，否則將會(huì)無(wú)法識(shí)別，而病毒則將這塊區(qū)域燒寫(xiě)出了物理?yè)p壞，所以成塊硬盤(pán)不管怎么初始化/重建引導(dǎo)，都會(huì)在重啟后變成未分配/丟失一切，相當(dāng)于整塊硬盤(pán)廢掉了（你會(huì)確保硬盤(pán)永遠(yuǎn)也不會(huì)有點(diǎn)電涌？）

5.不要再跟我提什么 沙盒、影子系統(tǒng)、虛擬機(jī)(VM)

云分析只是個(gè)幌子，實(shí)際上這個(gè)病毒已經(jīng)具有滲透能力，不要輕易嘗試，除非你很有錢(qián)，而且電腦的性能也非常的高（怎么也得是至強(qiáng)CPU、AMD線程撕裂者吧？）

歷代SKAs

SystemKernel-APIs Gen1? ? ? ? ? ? ?2018-2-9

SystemKernel-APIs Gen2? ? ? ? ? ? ?2018-2-10

SystemKernel-APIs Gen2.1? ? ? ? ? 2018-2-11

SystemKernel-APIs Gen3? ? ? ? ? ? ? 2018-2-13

更多請(qǐng)繼續(xù)關(guān)注下一次專(zhuān)欄，未完待續(xù)...