针对一个强对抗红队攻击样本的详细分析
2024-6-14 08:25:8 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14610

先知社区 作者:熊猫正正

近日在微步沙箱平台闲逛的时候,发现一个有意思的样本,如下所示:

沙箱动态检测,相关恶意行为没有跑出来,如下所示:

相关网络行为也没有跑出来,如下所示:

从名字上来看,如果样本是恶意的,猜测这大概率是一个红队样本,但是沙箱没有跑出来,里面肯定包含强对抗技术了,对于这类免杀强对抗型的攻击样本,里面包含很多攻击技术和免杀技术,都值得去深入的分析和研究,从别人的样本中去学习别人的免杀对抗技术。

详细分析

1.样本伪造成企业微信的安装程序,如下所示:

2.遍历当前目录下的文件个数以及对比文件信息,如果不满足条件,则退出程序,这里有三处比较,如下所示:

3.获取系统最近使用目录下的文件个数,如下所示:

4.如果最近使用目录下的文件个数小于5,或者GetTickCount的值小于0x75300,则退出程序,如下所示:

5.获取时间间隔信息,如果不满足条件,则退出程序,如下所示:

6.遍历系统服务信息,如果发现VMWare或Virtual Box等服务,则退出程序,如下所示:

7.获取系统内存大小,如果不满足条件,则退出程序,如下所示:

8.如果满足条件,则执行下面的操作,如下所示:

9.解密出相应的URL地址,如下所示:

10.然后通过URL向服务器端发起请求,如下所示:

11.解密出相应的URL地址,如下所示:

12.弹出一个迷惑性对话框,如下所示:

13.通过URL从远程服务器上下载加密数据,如下所示:

14.对加密的数据进行解密,解密过程,如下所示:

15.解密之后在指定的目录生成恶意程序,如下所示:

16.生成的恶意程序,如下所示:

17.最后通过ShellExecuteW调用生成的恶意程序,并带参数baidudocument执行,如下所示:

18.恶意程序运行之后,判断是否包含参数,如果不包含,则直接退出,如下所示:

19.解密出解密密钥N0n-FJTiMJa871z,如下所示:

20.通过密钥解密出URL地址,如下所示:

21.通过URL向服务器端发起请求,如下所示:

22.将加密的数据拷贝到内存当中,如下所示:

23.加密的数据硬编码在程序中,如下所示:

24.在内存中解密出ShellCode代码,如下所示:

25.分配内存空间,如下所示:

26.将解密出来的ShellCode代码拷贝到该内存空间当中,如下所示:

27.然后创建线程执行ShellCode代码,如下所示:

28.ShellCode代码,如下所示:

29.远程服务端的IP地址8.138.124.182,如下所示:

30.ShellCode代码匹配到相关的CS特征,如下所示:

通过分析该样本可能为某红队攻击样本,具有强对抗性,加密算法是经过设计的,反沙箱做的也还可以,自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。

威胁情报

总结结尾

做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247488298&idx=1&sn=a9ab39746156dca1482ae207343584f0&chksm=902fbc02a75835146b81ef57a121e3b93d64eb1c342d103bcfb6a2fd0e78223988df004ae2d4&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh