{
	"id": "0a41b057-ccaa-4c13-9be2-7861f9f293b2",
	"created_at": "2026-04-06T01:30:03.475574Z",
	"updated_at": "2026-04-10T03:20:52.708167Z",
	"deleted_at": null,
	"sha1_hash": "6d3aa46555985e91368cfc771728670c29856602",
	"title": "又見 REvil？！看駭客如何利用 REvil 同款加密勒索程式湮滅攻擊證據",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 917307,
	"plain_text": "又見 REvil？！看駭客如何利用 REvil 同款加密勒索程式湮滅攻擊證據\r\nBy Global Support \u0026 Service\r\nPublished: 2021-08-20 · Archived: 2026-04-06 00:48:53 UTC\r\nTeamT5 近期於台灣某企業環境取得一加密勒索惡意程式（Ransomware），該惡意程式與日前美國託管軟體開發業\r\n者 Kaseya 遭到駭客組織 REvil 入侵，進而產生供應鏈攻擊事件（Supply Chain Attack）密切相關。難道是近日忽然\r\n神秘消失的 REvil 又整裝上陣，再度發動攻擊？\r\nTeamT5 在這起事件中調查發現，該加密勒索惡意程式具有檔案數位簽章，可藉此躲避防毒軟體的偵測。同時也會\r\n利用早期 Windows 防毒產品的漏洞，執行 DLL Side-Loading，繞過安全檢查，載入惡意程式本體。執行工作前，\r\n會使用 RC4 演算法解密一組態設定檔，並於加密檔案階段，使用 Salsa20 和 AES 兩種演算法來加密檔案。\r\nTeamT5 深入調查，確定該企業並未採用 Kaseya 所提供之服務，且該受害環境存在多起駭客入侵攻擊事件。此\r\n外，該加密勒索程式所觸發的條件與 Kaseya 供應鏈攻擊事件有所區別，故 TeamT5 推測是攻擊者在入侵得手後，\r\n利用 REvil 加密勒索程式來煙滅犯罪現場證據之用。\r\n樣本分析\r\nsample.exe 為 TeamT5 所掌握取得之惡意程式，具備數位簽章（digital signature），簽署人名稱為 PB03\r\nTRANSPORT LTD.。目前該憑證已被簽發者宣告撤銷，據信，該簽章憑證為駭客攻擊前所竊取而來。所對應\r\nMITRE 的攻擊手法編號為 T1553.002。數位簽章資訊詳見下圖一。\r\n圖一、sample.exe 具有數位簽章（已遭宣告撤銷）\r\nsample.exe 除了具有檔案數位簽章之外，同時也是個 Dropper。在其檔案資源區塊中，具有兩個資源檔\r\nMODLIS.RG 與 SOFTIS.RG。檔案執行之後，會分別在 C:\\Windows\\ 路徑下建立 mpsvc.dll 與 MsMpEng.exe，如圖\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 1 of 7\n\n二。\r\n圖二、sample.exe 會從資源區塊產生 mpsvc.dll 與 MsMpEng.exe\r\nMsMpEng.exe 為 Windows 早期版本（版本號為 4.5.0218.0）之防毒軟體程式，其檔案時間戳記為 2014/03/24\r\n09:34。此 MsMpEng.exe 有 DLL 側載（DLL Side-Loading）漏洞，駭客利用合法程式來載入惡意本體 mpsvc.dll，為\r\n典型的白加黑攻擊手法，所對應 MITRE 的攻擊手法編號為 T1574.002。MsMpEng.exe 的檔案資訊詳見下圖三。\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 2 of 7\n\n圖三、MsMpEng.exe 的檔案資訊與檔案簽章\r\n根據 mpsvc.dll 的導出表，會透過 Windows 防毒程式來呼叫 mpsvc.dll，並透過 ServiceCrtMain 函式來執行。執行\r\n後，mpsvc.dll 會建立一個執行緒（Thread），並透過 CreateFileMappingW 函式來載入二階段惡意 Shellcode。接\r\n著，使用 VirtualAllocEx 函式來分配記憶體的讀/寫/執行區域，供 Shellcode 將加密勒索核心功能載入記憶體中。\r\n圖四、mpsvc.dll 使用 CreateFileMappingW 和 VirtualAllocEx 函式載入惡意程式核心\r\n加密勒索核心透過解碼一系列已編碼的 DLL 檔案，開始驗證和解密 JSON 格式之組態設定檔（Config）。TeamT5\r\n長期追蹤 REvil 駭客族群，發現他們廣泛使用 CRC32 演算法來驗證檔案的完整性，並使用 RC4 演算法來解密。在\r\n此案例中，加密勒索程式所使用的 RC4 解密金鑰為 mXT1QFyEUbrxc4cbP84jbN5wrHeqmFXt ，解密後的組態設定檔詳見\r\n以下範例：\r\n\"pk\":\"9/AgyLvWEviWbvuayR2k0Q140e9LZJ5hwrmto/zCyFM=\",\r\n\"pid\":\"$2a$12$prOX/4eKl8zrpGSC5lnHPecevs5NOckOUW5r3s4JJYDnZZSghvBkq\",\r\n\"sub\":\"8254\",\r\n\"dbg\":false,\r\n\"et\":0,\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 3 of 7\n\n\"wipe\":true,\r\n\"wht\":{\"fld\":[\"program files\",\"appdata\",\"mozilla\",\"$windows.~ws\",\"application data\",\"$windows.~bt\",\"google\",\"$recycle.bin\"\r\n\"fls\":[\"ntldr\",\"thumbs.db\",\"bootsect.bak\",\"autorun.inf\",\"ntuser.dat.log\",\"boot.ini\",\"iconcache.db\",\"bootfont.bin\",\"ntuser.\r\n\"ext\":[\"ps1\",\"ldf\",\"lock\",\"theme\",\"msi\",\"sys\",\"wpx\",\"cpl\",\"adv\",\"msc\",\"scr\",\"bat\",\"key\",\"ico\",\"dll\",\"hta\",\"deskthemepack\",\r\n\"wfld\":[\"backup\"],\r\n\"prc\":[\"encsvc\",\"powerpnt\",\"ocssd\",\"steam\",\"isqlplussvc\",\"outlook\",\"sql\",\"ocomm\",\"agntsvc\",\"mspub\",\"onenote\",\"winword\",\"th\r\n\"dmn\":\"boisehosting.net;fotoideaymedia.es;dubnew.com;stallbyggen.se;TRIMMED\",\r\n\"net\":false,\r\n\"svc\":[\"veeam\",\"memtas\",\"sql\",\"backup\",\"vss\",\"sophos\",\"svc$\",\"mepocs\"],\r\n\"nbody\":\"BASE64_ENCODED_RANSOM_NOTE\",\r\n\"nname\":\"{EXT}-readme.txt\",\r\n\"exp\":false,\r\n\"img\":\"QQBsAGwAIABvAGYAIAB5AG8AdQByACAAZgBpAGwAZQBzACAAYQByAGUAIABlAG4AYwByAHkAcAB0AGUAZAAhAA0ACgANAAoARgBpAG4AZAAgAHsARQB\r\n\"arn\":false,\r\n\"rdmcnt\":0}\r\n部分組態設定檔說明\r\n欄位 說明\r\npk 經過 Base64 編碼後的金鑰\r\nfld 避免加密的資料夾名稱\r\nfls 避免加密的檔案名稱\r\next 會被加密的檔案格式\r\nprc 加密前會強制關閉的程序名稱\r\ndmn 中繼站位址\r\nsvc 加密前會強制停止的服務名稱\r\n待加密勒索核心解析組態設定檔後，會搜集並儲存該受害主機的基本資訊，包含帳號、主機名稱、網域名稱、\r\nWindows 版本名稱等。同時，該加密勒索程式具有 -nolan 、 -nolocal 、 -path 、 -silent 、 -smode 、 -fast\r\n及 -full 等參數可供使用。\r\n如果使用 -smode 模式，會將當前帳號和密碼更改為 DTrump4ever ，並設定登入後自動執行。但若使用 -silent\r\n模式，則會從組態設定檔中將 svc 區塊中的服務停止並刪除，也將 prc 區塊中的程序終止，以及使用 WMI 刪\r\n除磁碟區陰影複製檔（Shadow Copy File）。\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 4 of 7\n\n圖五、smode 模式的程式分析畫面\r\n開始執行檔案加密前，加密勒索核心會檢查互斥變數（Mutex），以確保沒有其他加密勒索核心也在運行，確定加\r\n密過程可順利進行。在執行階段，加密勒索程式會清空電腦主機的資源回收桶，並嘗試建立本機防火牆規則 netsh\r\nadvfirewall firewall set rule group=\"Network Discovery\" new enable=Yes 。\r\n接著，破壞過程會使用多個演算法進行加密，例如 Salsa20 與 AES。在加密過程中，會忽略組態設定檔中 ext 區\r\n塊中的檔案副檔名，避免受害主機完全無法開機的狀況發生。\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 5 of 7\n\n圖六、加密演算法使用 Salsa20 和 AES\r\n待惡意程式開始加密檔案時，勒索訊息也會同步建立在每個資料夾路徑下，其檔案類型為文字格式（.txt），檔名\r\n則為隨機亂數產生的小寫英文與數字組合，並加上 -readme 做為後綴（suffix）字元。其勒索訊息內容如下圖七所\r\n示。\r\n圖七、勒索訊息內容\r\n在加密檔案之後，加密勒索程式會連線至組態設定檔中的中繼站，並使用 HTTP POST 方法回傳如 REvil 版本、作\r\n業系統版本、語言及組態設定檔的值等資訊。回傳中繼站的 URL 會採用隨機產生的關鍵字，如 WordPress 等服\r\n務，將流量偽裝成合法請求。其 URL 格式如下：\r\nhttps:\\/\\/\u003cC2Domain\u003e\\/(wp-content|static|content|include|uploads|news|data|admin)\\/(images|pictures|image|temp|tmp|graphic|assets|pics|game)\\/(\r\nz]{2}){10}\\.(jpg|png|gif)\r\nIoC 入侵指標\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 6 of 7\n\nTeamT5 彙整此次加密勒索攻擊事件的 IoC（Indicators of Compromise）資訊，建議用戶可將此份威脅指標情資，匯\r\n入各式偵測阻擋設備中使用，強化威脅防護。\r\nType Value 檔名 描述\r\nMD5 561CFFBABA71A6E8CC1CDCEDA990EAD4 sample.exe\r\nREvil\r\nDropper\r\nMD5 A47CF00AEDF769D60D58BFE00C0B5421 mpsvc.dll\r\nREvil\r\nLoader\r\nMD5 3AD14947002E57887B82643D729C21AE n/a\r\nREvil\r\nShellcode\r\nMD5 6A044F92F8DDDAD2AE0FF213215FE576 n/a\r\nREvil\r\nPayload\r\nSHA-1\r\n5162F14D75E96EDB914D1756349D6E11583DB0B0 sample.exe\r\nREvil\r\nDropper\r\nSHA-1\r\n656C4D285EA518D90C1B669B79AF475DB31E30B1 mpsvc.dll\r\nREvil\r\nLoader\r\nSHA-1\r\n8DA8E1DB4367BFFFB8DFF6828619DC3C2A444FFE n/a\r\nREvil\r\nShellcode\r\nSHA-1\r\n89BA0D748EF30E7D4FACDBC74CA701B24F3ACEDB n/a\r\nREvil\r\nPayload\r\nSHA-256\r\nD55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E sample.exe\r\nREvil\r\nDropper\r\nSHA-256\r\n8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD mpsvc.dll\r\nREvil\r\nLoader\r\nSHA-256\r\nC8768D4A4979D4B5AB4E841FC29523D8D80C52D6E89F345A0A44E75973F3D3AF n/a\r\nREvil\r\nShellcode\r\nSHA-256\r\nF92CD77D38EC7A2E3CDB5CAC083258424F920F3104BC710E60AEE5CE4BC4B867 n/a\r\nREvil\r\nPayload\r\n*圖片來源：Pixabay\r\nSource: https://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nhttps://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "ZH",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://teamt5.org/tw/posts/revil-dll-sideloading-technique-used-by-other-hackers/"
	],
	"report_names": [
		"revil-dll-sideloading-technique-used-by-other-hackers"
	],
	"threat_actors": [],
	"ts_created_at": 1775439003,
	"ts_updated_at": 1775791252,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6d3aa46555985e91368cfc771728670c29856602.pdf",
		"text": "https://archive.orkl.eu/6d3aa46555985e91368cfc771728670c29856602.txt",
		"img": "https://archive.orkl.eu/6d3aa46555985e91368cfc771728670c29856602.jpg"
	}
}