吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5682|回复: 10
收起左侧

[分享] 炒冷饭——Shim数据库持久化技术

  [复制链接]
hjm666 发表于 2021-2-4 17:15
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

木马持久化技术

最常见的方法是:
    1、计算机启动项的注册表内 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)新增
    2、计算机启动目录下放文件  (C:\Users\user\AppData\Roaming\Microsoft\Windows\Templates)

    通常都是在此基础上玩花样,建立快捷方式,vb脚本,bat脚本;进阶的就是将恶意代码文件注入到已经在上面的正常程序中(白加黑),直接把木马二进制写进注册表内,通过这些程序带动恶意代码。
再进阶就是打系统文件,计算机系统程序注意,最常用的还是通过注入技术,自供应链攻击的兴起,再就是通过供应链下发在你神不知鬼不觉中建立持久化 
再再进阶就是对计算机底层注入,内核注入,rookit等技术,(这样看起来上面的注入系统进程,和供应链与这条也谈不上有技术偏差,反正再我彩笔看来都是牛逼的操作,哪个都不简单)

Shim数据库持久化技术

        回到正题,这个Shim数据库持久化是什么的呢,严格的来说也是一直通过计算机注册表达到持久化的一种技术。
        这个技术因该是最早是2017年的时候被披露,是不是在此之前已经有这个了我就不知道了,反正2017年的时候这个火了吧,2017年有欧洲背景的APT组织FIN7就是是用来这个技术进行做持久化,(不管它多早,反正我才是最近才知道这个东西)
                外网链接写这个技术的报告(多亏这个报告了)
        https://www.fireeye.com/blog/threat-research/2017/05/fin7-shim-databases-persistence.html
        https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/pillowmint-fin7s-monkey-thief/

                        这个东西实现呢需要建立在一个Windows系统内安装了KB2832077补丁的前提。
                原理呢:
                                1、使用内置程序“sdbinst.exe ” 对构建的恶意的Shim 数据库进行注册
                                                注册成功后会在计算机保存shim数据库的默认目录下,生成以随机GUID命名扩展名是".sdb" 的文件。
                                2、再将生成的“.sdb”文件注册到services.exe中

                            **  完成以上步骤后,services.exe 启动的时候会将这个“sdb”加载到内存中运行,这时候构建的Shim数据库内的shellcode的也会被执行。**

                            上一张上面报告里的图,可以诠释这个过程

Fig9.png

遇到这种样本,取了两种持久化方式,明明打了补丁,莫名在services.exe上出现了错误跑不出来构建的Shim文件,全网一堆沙箱试了也就启明的沙箱跑出来了,又下不到。全网又没找到其它的构建的Shim数据库,后续是怎么让其加载到services.exe的还要继续跟进看看有没有结果,看心情出不出帖子


        上一张描述这个过程的图,具体怎么实现可了解链接中的报告。
微信截图_20210204171256.png

免费评分

参与人数 9吾爱币 +14 热心值 +9 收起 理由
xiaofengzi + 1 + 1 用心讨论,共获提升!
那我是落叶吧 + 1 + 1 热心回复!
wang3166wang + 1 + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
深水夜藏 + 1 + 1 我很赞同!
xifanu + 1 + 1 谢谢@Thanks!
cs1245123 + 1 + 1 热心回复!
533446388 + 1 我很赞同!
Paranoid丶 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

zqguang3708 发表于 2021-2-4 18:05
很强 👍
jiangshanhu1998 发表于 2021-2-4 18:17
mrzhenjia 发表于 2021-2-4 18:27
andyfky 发表于 2021-2-4 19:45
d 这个太高级砘吧d
485700235 发表于 2021-2-6 12:16
支持支持支持支持支持
stnst07 发表于 2021-2-6 14:58
感谢分享 不太懂
wginui 发表于 2021-2-6 16:17
纯D,这个很牛
深水夜藏 发表于 2021-2-7 10:10
很喜欢,感谢分享
那我是落叶吧 发表于 2021-2-23 20:44
想请教一下病毒分析的工作 这些病毒是从何来的(人力分析病毒应该是最末端的,而在工作中分析的这么多病毒来源是哪里呢),分析的目的是什么(写分析报告的目的,只是提取特征供查杀吗)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表