针对一个强对抗红队攻击样本的详细分析
安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
先知社区 作者:熊猫正正
近日在微步沙箱平台闲逛的时候,发现一个有意思的样本,如下所示:
沙箱动态检测,相关恶意行为没有跑出来,如下所示:
相关网络行为也没有跑出来,如下所示:
从名字上来看,如果样本是恶意的,猜测这大概率是一个红队样本,但是沙箱没有跑出来,里面肯定包含强对抗技术了,对于这类免杀强对抗型的攻击样本,里面包含很多攻击技术和免杀技术,都值得去深入的分析和研究,从别人的样本中去学习别人的免杀对抗技术。
详细分析
1.样本伪造成企业微信的安装程序,如下所示:
2.遍历当前目录下的文件个数以及对比文件信息,如果不满足条件,则退出程序,这里有三处比较,如下所示:
3.获取系统最近使用目录下的文件个数,如下所示:
4.如果最近使用目录下的文件个数小于5,或者GetTickCount的值小于0x75300,则退出程序,如下所示:
5.获取时间间隔信息,如果不满足条件,则退出程序,如下所示:
6.遍历系统服务信息,如果发现VMWare或Virtual Box等服务,则退出程序,如下所示:
7.获取系统内存大小,如果不满足条件,则退出程序,如下所示:
8.如果满足条件,则执行下面的操作,如下所示:
9.解密出相应的URL地址,如下所示:
10.然后通过URL向服务器端发起请求,如下所示:
11.解密出相应的URL地址,如下所示:
12.弹出一个迷惑性对话框,如下所示:
13.通过URL从远程服务器上下载加密数据,如下所示:
14.对加密的数据进行解密,解密过程,如下所示:
15.解密之后在指定的目录生成恶意程序,如下所示:
16.生成的恶意程序,如下所示:
17.最后通过ShellExecuteW调用生成的恶意程序,并带参数baidudocument执行,如下所示:
18.恶意程序运行之后,判断是否包含参数,如果不包含,则直接退出,如下所示:
19.解密出解密密钥N0n-FJTiMJa871z,如下所示:
20.通过密钥解密出URL地址,如下所示:
21.通过URL向服务器端发起请求,如下所示:
22.将加密的数据拷贝到内存当中,如下所示:
23.加密的数据硬编码在程序中,如下所示:
24.在内存中解密出ShellCode代码,如下所示:
25.分配内存空间,如下所示:
26.将解密出来的ShellCode代码拷贝到该内存空间当中,如下所示:
27.然后创建线程执行ShellCode代码,如下所示:
28.ShellCode代码,如下所示:
29.远程服务端的IP地址8.138.124.182,如下所示:
30.ShellCode代码匹配到相关的CS特征,如下所示:
通过分析该样本可能为某红队攻击样本,具有强对抗性,加密算法是经过设计的,反沙箱做的也还可以,自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。
威胁情报
总结结尾
做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。
