某黑产最新免杀攻击样本详细分析
2024-8-5 11:47:43 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/15182

先知社区 作者:熊猫正正

近日有朋友通过微信发我一个样本,如下所示:

在VT上查了一下样本,发现竟然只有一个报毒的,如下所示:

样本第一次上传的日期是2024年7月12日,到现在为止也还只有一家报毒,笔者针对这个最新的免杀样本进行了详细分析,分享出来供大家参考学习。

详细分析

1.样本解压之后,如下所示:

2.采用白+黑的方式加载恶意DLL,如下所示:

3.恶意DLL在VT上的识别率非常低,通过分析它的导出函数,基本都使用MessageBoxA进行重构,如下所示:

4.然后发现有一个函数没有使用MessageBoxA,如下所示:

5.对比这个函数与原文件函数,如下所示:

6.进入这个函数,发现会读取内目录下的TXT加密数据,如下所示:

7.然后通过函数解密加密的数据,如下所示:

8.读取TXT文件加密数据到内存当中,如下所示:

9.解密加密的数据,解密之后,如下所示:

10.解压缩上面解密后的数据,如下所示:

11.解压缩之后,如下所示:

12.解压缩后的PayLoad使用UPX加壳,编译时间为2024年6月5日,如下所示:

13.使用upx解壳,如下所示:

14.将解密解压缩出来的PayLoad拷贝加载到分配的内存空间,如下所示:

15.抺掉PE文件标识,如下所示:

16.抺掉PayLoad的PE文件标识之后,如下所示:

17.跳转执行到PayLoad的入口代码处,如下所示:

18.执行解壳代码,最后跳转到脱壳后的代码入口点,如下所示:

19.创建互斥变量,使用IsDebuggerPresent反调试,如下所示:

20.获取系统信息和内存状态等信息反虚拟机,如下所示:

21.指定进程的优先级,如下所示:

22.解密远程服务器C2配置信息,如下所示:

23.解密函数,如下所示:

24.解密出来的远程服务器C2配置信息,如下所示:

25.判断是否为管理员权限,如果是管理员权限,则执行相关的操作等,如下所示:

26.查询相关的注册表键值,如下所示:

27.如果注册表键值存在,则启动相应的服务,服务名为Windows Eventn,如下所示:

28.创建指定的文件目录,如下所示:

29.将文件夹设置为隐藏属性,然后将文件拷贝到生成的文件目录下面,并创建相应的服务自启动项,如下所示:

30.拷贝完成之后,如下所示:

31.创建的服务自启动项,如下所示:

32.与远程服务器通信,通过不同的指令执行不同的操作,其中包含文件进程管理,上载下载等功能,还有一些扩展模块的功能,如下所示:

该部分功能代码与此前变种功能代码基本一致,就不一一列举了。

威胁情报

总结结尾

去年使用“银狐”黑客工具的多个黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247488674&idx=1&sn=e27df173edcb389bf5bc4d22bf4a4b51&chksm=902fbb8aa758329c6f652730d925651a8a185392bb0f77512ab18cc824cb2aa1031c379c1a18&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh