安全矩阵

 找回密码
 立即注册
搜索
查看: 364|回复: 0

针对一个强对抗红队攻击样本的详细分析

[复制链接]

57

主题

57

帖子

181

积分

注册会员

Rank: 2

积分
181
发表于 2024-6-22 16:27:56 | 显示全部楼层 |阅读模式
前言概述
原文首发出处:
https://xz.aliyun.com/t/14610

先知社区 作者:熊猫正正

近日在微步沙箱平台闲逛的时候,发现一个有意思的样本,如下所示:
沙箱动态检测,相关恶意行为没有跑出来,如下所示:
相关网络行为也没有跑出来,如下所示:
从名字上来看,如果样本是恶意的,猜测这大概率是一个红队样本,但是沙箱没有跑出来,里面肯定包含强对抗技术了,对于这类免杀强对抗型的攻击样本,里面包含很多攻击技术和免杀技术,都值得去深入的分析和研究,从别人的样本中去学习别人的免杀对抗技术。

详细分析
1.样本伪造成企业微信的安装程序,如下所示:
2.遍历当前目录下的文件个数以及对比文件信息,如果不满足条件,则退出程序,这里有三处比较,如下所示:
3.获取系统最近使用目录下的文件个数,如下所示:
4.如果最近使用目录下的文件个数小于5,或者GetTickCount的值小于0x75300,则退出程序,如下所示:
5.获取时间间隔信息,如果不满足条件,则退出程序,如下所示:
6.遍历系统服务信息,如果发现VMWare或Virtual Box等服务,则退出程序,如下所示:
7.获取系统内存大小,如果不满足条件,则退出程序,如下所示:
8.如果满足条件,则执行下面的操作,如下所示:
9.解密出相应的URL地址,如下所示:
10.然后通过URL向服务器端发起请求,如下所示:
11.解密出相应的URL地址,如下所示:
12.弹出一个迷惑性对话框,如下所示:
13.通过URL从远程服务器上下载加密数据,如下所示:
14.对加密的数据进行解密,解密过程,如下所示:
15.解密之后在指定的目录生成恶意程序,如下所示:
16.生成的恶意程序,如下所示:
17.最后通过ShellExecuteW调用生成的恶意程序,并带参数baidudocument执行,如下所示:
18.恶意程序运行之后,判断是否包含参数,如果不包含,则直接退出,如下所示:
19.解密出解密密钥N0n-FJTiMJa871z,如下所示:
20.通过密钥解密出URL地址,如下所示:
21.通过URL向服务器端发起请求,如下所示:
22.将加密的数据拷贝到内存当中,如下所示:
23.加密的数据硬编码在程序中,如下所示:
24.在内存中解密出ShellCode代码,如下所示:
25.分配内存空间,如下所示:
26.将解密出来的ShellCode代码拷贝到该内存空间当中,如下所示:
27.然后创建线程执行ShellCode代码,如下所示:
28.ShellCode代码,如下所示:
29.远程服务端的IP地址8.138.124.182,如下所示:
30.ShellCode代码匹配到相关的CS特征,如下所示:
通过分析该样本可能为某红队攻击样本,具有强对抗性,加密算法是经过设计的,反沙箱做的也还可以,自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。

威胁情报

总结结尾
做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 21:01 , Processed in 0.012873 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表