免杀 ｜ 反沙箱运行上线shellcode

alyssa

1.漏洞背景
近期在进行免杀操作时，遭遇了些让人哭笑不得的难题。我费尽心思编写的代码，终于实现了零检出，但…



可就在我沾沾自喜时，微x监测系统却仍报告有毒。更头疼的是，连我的服务器IP地址也暴露了。



面对无奈，决定尝试Fuzzing技术。虽然程序绕过了传统杀毒软件，但沙箱监测却揭露了它的特征。现在的计划是，如果检测到运行在沙箱中，程序就不会执行。

时间检测：利用沙箱的限时运行特性，通过监测系统时间或延长执行来规避检测。

用户交互检测：寻找鼠标或键盘活动的迹象，无用户互动则可能处于沙箱环境。

环境检测：识别虚拟化软件的迹象，检查文件、进程、注册表，甚至硬件特征。

资源利用检测：观察系统程序、服务数量及CPU、内存使用，与沙箱环境的差异可能成为关键线索。

网络活动检测：分析IP地址和网络连接，判断是否在沙箱中。

硬件和系统配置检测：沙箱的硬件和系统配置可能与常规用户设备不同，这些差异可能被用来识别沙箱环境。

根据特征来fuzz

利用了Windows API的 GetTickCount64 和 Sleep 函数。

GetTickCount64调用：

GetTickCount64 函数返回自系统启动以来的毫秒数。这是一个常用于测量时间间隔的函数。

Sleep函数调用：

Sleep(300u) 使程序暂停300毫秒。Sleep 函数用于暂停当前线程指定的毫秒数。

1. <p>
   
2. </p><p>import ctypes</p><p>import time</p><p> </p><p># 定义所需的Windows API函数</p><p>GetTickCount64 = ctypes.windll.kernel32.GetTickCount64</p><p>Sleep = ctypes.windll.kernel32.Sleep</p><p> </p><p>def is_sandbox():</p><p>    start_tick = GetTickCount64()</p><p>    Sleep(300)  # 暂停300毫秒</p><p>    end_tick = GetTickCount64()</p><p>    elapsed = end_tick - start_tick</p><p> </p><p>    # 检查实际暂停时间是否显著小于预期时间</p><p>    # 这里我们检查时间差是否大于100毫秒</p><p>    return elapsed - 300 > 100</p><p> </p><p>def execute_shellcode(shellcode):</p><p>    # shellcode执行的函数</p><p>    pass</p><p> </p><p>def main():</p><p>    # 检测沙箱环境</p><p>    if is_sandbox():</p><p>        print("可能处于沙箱环境，不执行shellcode。")</p><p>    else:</p><p>        # 如果没有检测到沙箱，执行shellcode</p><p>         -----------------------------</p><p>         这里放loader</p><p>         -----------------------------</p><p> </p><p>if __name__ == "__main__":</p><p>    main()</p><p></p>

复制代码

"在巧妙的is_sandbox函数中，我们运用了GetTickCount64和Sleep来巧妙地评估程序的运行环境是否被人为加速。当发现实际的暂停时间显著低于预期时，我们便推断该程序可能处于沙箱环境中。基于这样的检测结果，main函数会慎重地决定是否执行shellcode。

这里仅展示了一个示例。由于沙箱技术不断演进，加上系统性能的变数可能会影响计时函数的准确性，这种方法有可能出现误报或漏报。因此，强调始终在合法和安全的环境下对你的代码进行测试。

随信附上图示，祝各位专家在杀毒软件的世界中驰骋无阻。