某黑产最新免杀攻击样本详细分析

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 去年使用“银狐”黑客工具的多个黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。

前言概述

近日有朋友通过微信发我一个样本,如下所示:

在VT上查了一下样本,发现竟然只有一个报毒的,如下所示:

样本第一次上传的日期是2024年7月12日,到现在为止也还只有一家报毒,笔者针对这个最新的免杀样本进行了详细分析,分享出来供大家参考学习。

详细分析

  1. 样本解压之后,如下所示:

  1. 采用白+黑的方式加载恶意DLL,如下所示:

  1. 恶意DLL在VT上的识别率非常低,通过分析它的导出函数,基本都使用MessageBoxA进行重构,如下所示:

  1. 然后发现有一个函数没有使用MessageBoxA,如下所示:

  1. 对比这个函数与原文件函数,如下所示:

  1. 进入这个函数,发现会读取内目录下的TXT加密数据,如下所示:

  1. 然后通过函数解密加密的数据,如下所示:

  1. 读取TXT文件加密数据到内存当中,如下所示:

  1. 解密加密的数据,解密之后,如下所示:

  1. 解压缩上面解密后的数据,如下所示:

  1. 解压缩之后,如下所示:

  1. 解压缩后的PayLoad使用UPX加壳,编译时间为2024年6月5日,如下所示:

  1. 使用upx解壳,如下所示:

  1. 将解密解压缩出来的PayLoad拷贝加载到分配的内存空间,如下所示:

  1. 抺掉PE文件标识,如下所示:

  1. 抺掉PayLoad的PE文件标识之后,如下所示:

  1. 跳转执行到PayLoad的入口代码处,如下所示:

  1. 执行解壳代码,最后跳转到脱壳后的代码入口点,如下所示:

  1. 创建互斥变量,使用IsDebuggerPresent反调试,如下所示:

  1. 获取系统信息和内存状态等信息反虚拟机,如下所示:

  1. 指定进程的优先级,如下所示:

  1. 解密远程服务器C2配置信息,如下所示:

  1. 解密函数,如下所示:

  1. 解密出来的远程服务器C2配置信息,如下所示:

  1. 判断是否为管理员权限,如果是管理员权限,则执行相关的操作等,如下所示:

  1. 查询相关的注册表键值,如下所示:

  1. 如果注册表键值存在,则启动相应的服务,服务名为Windows Eventn,如下所示:

  1. 创建指定的文件目录,如下所示:

  1. 将文件夹设置为隐藏属性,然后将文件拷贝到生成的文件目录下面,并创建相应的服务自启动项,如下所示:

  1. 拷贝完成之后,如下所示:

  1. 创建的服务自启动项,如下所示:

  1. 与远程服务器通信,通过不同的指令执行不同的操作,其中包含文件进程管理,上载下载等功能,还有一些扩展模块的功能,如下所示:

该部分功能代码与此前变种功能代码基本一致,就不一一列举了。

威胁情报

总结

去年使用“银狐”黑客工具的多个黑产团伙非常活跃,今年这些黑产团伙仍然非常活跃,而且仍然在不断的更新自己的攻击样本,采用各种免杀方式,逃避安全厂商的检测,免杀对抗手法一直在升级。

相关文章
【论文速递】NDSS2021 - 操纵 Byzantine: 联邦学习的模型中毒攻击与防御优化
【论文速递】NDSS2021 - 操纵 Byzantine: 联邦学习的模型中毒攻击与防御优化
|
3月前
|
安全 数据安全/隐私保护
针对一个有意思的钓鱼免杀样本的详细分析
近日跟踪到一个钓鱼样本,比较有意思,沙箱没有跑出行为,如下所示: 做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。
|
3月前
|
存储 安全 算法
针对一个红队病毒样本逆向分析
近日翻到一个比较新颖的样本,在最终后门载荷释放前运用了不少免杀手段,包括堆栈欺骗,实现反射性调用API,以及DLL侧加载、DLL挖空、HOOK规避等手法,对其执行流程和部分手法做详细分析记录。
|
5月前
|
安全 网络安全 数据安全/隐私保护
关于双面恶魔攻击的定义、检测和预防的最佳实践
关于双面恶魔攻击的定义、检测和预防的最佳实践
|
6月前
|
机器学习/深度学习 算法
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
黑盒攻击中迁移攻击和通用对抗扰动的讲解及实战(附源码)
254 1
|
安全 API Windows
恶意病毒逆向分析实验1
恶意病毒逆向分析
|
监控 安全 算法
5种顶级欺骗工具以及它们如何让网络攻击者落入陷阱
5种顶级欺骗工具以及它们如何让网络攻击者落入陷阱
436 0
|
XML SQL 安全
常见高危Web漏洞原理及检测技术分析与研究
随着计算机技术以及信息网络通信技术的高速发展,人们也逐渐意识到信息安全的重要性,网络安全问题成为社会、国家的关注焦点。本文对Web漏洞的类型与原理、Web漏洞扫描技术的原理与应用进行了研究,分析了计算机网络中安全漏洞检测技术的应用策略。