前言概述 原文首发出处: https://xz.aliyun.com/t/14610
先知社区 作者:熊猫正正
近日在微步沙箱平台闲逛的时候,发现一个有意思的样本,如下所示: 沙箱动态检测,相关恶意行为没有跑出来,如下所示: 相关网络行为也没有跑出来,如下所示: 从名字上来看,如果样本是恶意的,猜测这大概率是一个红队样本,但是沙箱没有跑出来,里面肯定包含强对抗技术了,对于这类免杀强对抗型的攻击样本,里面包含很多攻击技术和免杀技术,都值得去深入的分析和研究,从别人的样本中去学习别人的免杀对抗技术。
详细分析 1.样本伪造成企业微信的安装程序,如下所示: 2.遍历当前目录下的文件个数以及对比文件信息,如果不满足条件,则退出程序,这里有三处比较,如下所示: 3.获取系统最近使用目录下的文件个数,如下所示: 4.如果最近使用目录下的文件个数小于5,或者GetTickCount的值小于0x75300,则退出程序,如下所示: 5.获取时间间隔信息,如果不满足条件,则退出程序,如下所示: 6.遍历系统服务信息,如果发现VMWare或Virtual Box等服务,则退出程序,如下所示: 7.获取系统内存大小,如果不满足条件,则退出程序,如下所示: 8.如果满足条件,则执行下面的操作,如下所示: 9.解密出相应的URL地址,如下所示: 10.然后通过URL向服务器端发起请求,如下所示: 11.解密出相应的URL地址,如下所示: 12.弹出一个迷惑性对话框,如下所示: 13.通过URL从远程服务器上下载加密数据,如下所示: 14.对加密的数据进行解密,解密过程,如下所示: 15.解密之后在指定的目录生成恶意程序,如下所示: 16.生成的恶意程序,如下所示: 17.最后通过ShellExecuteW调用生成的恶意程序,并带参数baidudocument执行,如下所示: 18.恶意程序运行之后,判断是否包含参数,如果不包含,则直接退出,如下所示: 19.解密出解密密钥N0n-FJTiMJa871z,如下所示: 20.通过密钥解密出URL地址,如下所示: 21.通过URL向服务器端发起请求,如下所示: 22.将加密的数据拷贝到内存当中,如下所示: 23.加密的数据硬编码在程序中,如下所示: 24.在内存中解密出ShellCode代码,如下所示: 25.分配内存空间,如下所示: 26.将解密出来的ShellCode代码拷贝到该内存空间当中,如下所示: 27.然后创建线程执行ShellCode代码,如下所示: 28.ShellCode代码,如下所示: 29.远程服务端的IP地址8.138.124.182,如下所示: 30.ShellCode代码匹配到相关的CS特征,如下所示: 通过分析该样本可能为某红队攻击样本,具有强对抗性,加密算法是经过设计的,反沙箱做的也还可以,自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。
威胁情报
总结结尾 做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。
|