吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13177|回复: 182
收起左侧

[PC样本分析] Windows64位病毒量大幅上涨 “病毒混淆器”挑战依然严峻

     关闭 [复制链接]
火绒安全实验室 发表于 2022-11-16 19:23
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2022-11-18 13:14 编辑

在病毒与安全软件的对抗过程中,“病毒混淆器”一直扮演着重要的角色——为病毒提供外在伪装。实际上,很多病毒的核心特征变化并不大,但依赖不断变化的“病毒混淆器”,就能够轻松产生批量的变形病毒,从而躲避安全软件查杀。 根据长期数据统计显示,依赖“病毒混淆器”不断变形的病毒家族样本在2021年进入高速增长期,虽然出现阶段性下降,但总体依然处于上升趋势。与此同时,Win64病毒样本数量也在大幅上涨,2021年全年相较于2020年,Win64病毒样本数量已增长了5倍,且今年单季度样本增速再创历史新高。如下图所示:

Image-0.png

火绒安全实验室发现,随着“病毒混淆器”对抗手段的演变,原有主流病毒家族如:Emotet、Dridex、IcedID等均出现64位新变种。虽然目前64位流行病毒家族所使用的混淆手段与32位相比还较为基础,但已呈现日益完善、愈加复杂的趋势。Win64病毒样本主要混淆手段如下图所示:

Image-1.png


由此可见,“病毒混淆器”为安全软件带来的识别查杀挑战依然是严峻的。


火绒安全日前正式进阶了核心技术能力——火绒反病毒引擎“虚拟沙盒”支持64位虚拟环境,即在虚拟沙盒中构建一套类64位Windows操作系统。此后,火绒引擎对64位样本的扫描,可以排除混淆手段干扰,获取到64位病毒核心特征。从而提高产品对未知病毒的检出能力,防御未知威胁。 以Dridex和Emotet病毒的64位样本为例,演示其混淆手段及在火绒“虚拟沙盒”中的运行情况:


(视频内容仅用于展示火绒虚拟沙盒中的执行效果,火绒引擎在扫描样本过程中会自动完成虚拟执行流程并完成病毒监测。)


该技术现已全面应用在个人版和企业版产品中,并为合作伙伴终端安全防护能力增添新助力。新老用户可升级版本或至火绒安全官网申请试用。

附:windows 64位流行病毒家族分析EmotetEmotet病毒主要通过鱼叉邮件方式进行传播,即针对特定用户、组织或企业,“定制化”地进行网络钓鱼攻击。当用户点击运行邮件附件后,病毒就会被激活,并在终端后台盗取各类隐私信息(浏览器记录、电子邮件信息、凭证信息)。此外,Emotet还会传播其他病毒家族,如:TrickBot银行木马和Ryuk勒索病毒。从2022年4月份开始64位变种大量增加, 11月初64位再次出现增长现象, 64位Emotet病毒样本趋势图,如下图所示:

Image-2.png

64位Emotet 病毒样本趋势图



Emotet

通过注册表和服务进行自启动,相关代码,如下图所示:



Image-3.png

注册表自启动




Image-4.png


服务自启动



收集本机信息,并发送给C&C服务器,相关代码,如下图所示:

Image-5.png

收集本机信息



Emotet主模块接收C&C服务器下发的指令,根据指令执行不同的恶意功能,如:执行任意恶意模块(窃取模块、横向传播模块等恶意模块)。执行C&C服务器下发的指令,相关代码,如下所示:

Image-6.png

根据C&C服务器下发的指令执行对应恶意功能



混淆技术分析

以下对多个不同的64位Emotet变种使用的混淆技术进行分析, 64位Emotet变种中所使用的混淆器正在慢慢完善,变得复杂,64位Emotet不同变种的混淆器对比图,如下图所示:

Image-7.png

64位Emotet不同变种的外层混淆器对比图


不同变种的64位Emotet所使用的混淆器千变万化,但是行为模式基本相同。不同变种在火绒虚拟行为沙盒中的行为对比,如下图所示:

Image-8.png

64位Emotet不同变种,在火绒虚拟行为沙盒中的行为对比


在64位Emotet中,已经开始大量使用控制流平坦化来影响安全人员分析,在火绒虚拟行为沙盒中,也可以看见一些内层的运行细节,如下图所示:

Image-9.png

火绒虚拟行为沙盒运行效果图

64位Emotet混淆器中使用了一些与虚拟行为沙盒对抗的技巧, 如:循环执行无意义代码,让虚拟行为沙盒超时;调用CoLoadLibrary函数动态加载一个系统的exe文件,来检测虚拟行为沙盒环境的真实性,以下进行一一举例:

Image-10.png

循环执行无意义代码64



Emotet混淆器中还会加载sc.exe来检测虚拟行为沙盒的真实性,如下图所示:



Image-11.png

检测虚拟行为沙盒环境的真实性


Dridex

Dridex是一种臭名昭著的银行木马,出现于2011年左右,至今仍然非常活跃,主要通过收集键盘记录、屏幕截图、剪贴板内容等信息,窃取受害者的隐私信息。从2021年10月份开始Dridex大量出现64位变种,64位Dridex病毒样本趋势图,如下图所示:

Image-12.png

64位Dridex病毒样本趋势图



病毒分析



创建任务计划来进行持久化,相关代码,如下图所示:

Image-13.png

添加任务计划



通过AtomBombing注入将恶意代码注入进其他进程中来躲避杀毒软件查杀,相关代码,如下图所示:

Image-14.png

AtomBombing注入其他进程



通过HOOK 进程的TranslateMessage函数来记录受害者键盘输入,相关代码,如下图所示:

Image-15.png

键盘记录



获取受害者屏幕截图功能,相关代码,如下图所示:

Image-16.png

屏幕截图



通过HOOK进程的GetClipboardData函数来获取剪贴板内容,相关代码,如下图所示:



Image-17.png

获取剪贴板数据



混淆技术分析



与Emotet相比Dridex的外层混淆器更加复杂,将关键代码隐藏在大量混淆代码和无意义循环中进行混淆 ,为了对抗安全人员分析还会将重要的函数分段导出为多个函数,导致IDA识别出错,给分析人员制造难度,如下图所示:

Image-18.png

影响IDA识别



重要的代码被包围在众多混淆代码中,这些代码还能检测虚拟行为沙盒的真实性,不同变种的外层混淆器进行对比,如下所示:



Image-19.png

同变种的外层混淆器进行对比



不同变种在火绒虚拟行为沙盒中的行为对比,如下图所示:

Image-20.png

不同变种在火绒虚拟行为沙盒中的行为对比


火绒虚拟行为沙盒也可以看见一些内层的运行细节,如下图所示:

Image-21.png

火绒虚拟行为沙盒运行效果图



IcedID

近年来较为活跃的新兴银行木马,会收集受害者各种隐私数据如:各种浏览器的登录凭证、Cookie、历史记录,电子邮件的登录凭证等信息,并携带后门功能,可以执行C&C服务器下发的任意Shell命令。从2021年1月开始64位IcedID变种大量出现,在近期又逐渐增多,64位IcedID病毒样本趋势图,如下图所示:

Image-22.png

64位IcedID病毒样本趋势图



病毒分析



病毒启动后会收集各种系统信息(CPU、网卡、进程等信息)发送给C&C服务器,C&C服务器中会根据收集到的信息进行判断,如果检测到虚拟机或者调试器相关环境信息,则会将该IP地址拉黑不再下发后续模块,收集系统信息相关代码,如下图所示:

Image-23.png

收集本机信息



将收集到的信息发送给C&C服务器,并接收新的恶意模块,相关代码,如下图所示:

Image-24.png

发送和接收信息



加载C&C服务器下发的恶意模块,相关代码,如下图所示:

Image-25.png

内存加载接收到的恶意模块



恶意模块中,会收集受害者各种隐私信息如:各种浏览器的登录凭证、Cookie、历史记录;电子邮件的登录凭证等信息,并执行C&C服务器下发的任意命令,以下进行举例说明。

收集浏览器和电子邮件信息
涉及到的浏览器列表,如下图所示: Image-26.png


涉及到的浏览器列表
获取各种浏览器和电子邮件信息,相关代码,如下图所示:

Image-27.png

获取浏览器和电子邮件信息


还会获取各种浏览器的Cookie数据,相关代码,如下图所示:

Image-28.png

获取浏览器的Cookie数据



收集系统信息

执行Shell命令来获取系统各种信息如:杀毒软件、网卡、域等信息,相关代码,如下图所示:

Image-29.png

执行Shell命令获取系统信息


上传文件



上传C&C服务器指定的文件,相关代码,如下图所示:

Image-30.png

上传指定文件



执行Shell命令

执行C&C服务器下发的任意的Shell命令,相关代码,如下图所示:

Image-31.png

执行C&C服务器下发的任意的Shell命令



混淆技术分析



IcedID外层混淆器难度较低,只是添加了一些无意义循环,并将代码块拆分成多个块,每个代码块之间利用跳转连接,IDA代码流程图,如下所示:

Image-32.png

IDA代码流程图



通过火绒虚拟行为沙盒我们可以看到该样本运行的一些运行细节,如下图所示:
Image-33.png
火绒虚拟行为沙盒运行效果图



附录



病毒HASH:

改.png

免费评分

参与人数 84吾爱币 +79 热心值 +77 收起 理由
KTTOL + 1 + 1 我很赞同!
qlu50of5 + 1 + 1 我很赞同!
紫丶罗兰 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yoyoRev + 1 + 1 我很赞同!
qweqaz2039 + 1 我很赞同!
wang82530 + 1 + 1 用心讨论,共获提升!
Sneak苦瓜 + 1 + 1 绒哥,求求你能不能多出点小工具啊?像360那种小工具,你们的开机启动也要.
大以巴狼 + 1 + 1 谢谢@Thanks!
szkent + 1 + 1 谢谢@Thanks!
伏热 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
icy0012 + 1 + 1 我很赞同!
燃病软 + 1 + 1 谢谢@Thanks!
vsurogh54 + 1 我很赞同!
国防科大之神 + 1 + 1 谢谢@Thanks!
wskldwq + 1 + 1 用心讨论,共获提升!
confectionary + 1 + 1 我很赞同!
mte456789 + 1 + 1 我很赞同!
pmhker + 1 + 1 我很赞同!
寻找的道路 + 1 谢谢@Thanks!
kvieta丶心灵 + 1 + 1 我很赞同!
薛家岗扛把子 + 1 + 1 热心回复!
爱新觉罗罹江 + 1 + 1 热心回复!
deideili + 1 + 1 我很赞同!
Kendodoo + 1 用心讨论,共获提升!
yuzhicheng20 + 1 + 1 我很赞同!
thebeloved + 1 + 1 热心回复!
nirunyu + 1 + 1 用心讨论,共获提升!
虚界设计师 + 1 + 1 谢谢@Thanks!
zhangtong2208 + 1 + 1 我很赞同!
蒋天 + 1 + 1 谢谢@Thanks!
ZZF1949 + 1 + 1 我很赞同!
haoya + 1 + 1 我很赞同!
ryan515 + 1 + 1 高端帖看得有点眼晕。。。
WUXING_TIANCHEN + 1 我很赞同!
chenggong123 + 1 + 1 用心讨论,共获提升!
gweifeng + 1 + 1 我很赞同!
thrinity + 1 + 1 我很赞同!
98xianyu + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ipdongliyuan + 1 + 1 谢谢@Thanks!
北冥鱼 + 1 用心讨论,共获提升!
xuanshixh + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
sonder2021 + 1 + 1 我很赞同!
蓝河 + 1 + 1 我很赞同!
yp17792351859 + 1 + 1 用心讨论,共获提升!
z7138910 + 1 + 1 热心回复!
gzsklsskszngc + 1 + 1 我很赞同!
Aircreach + 1 + 1 用心讨论,共获提升!
ACBur + 1 + 1 火绒牛逼!
硬骨头长了毛 + 1 谢谢@Thanks!
32154678925 + 1 + 1 我很赞同!
NO多余权限 + 1 热心回复!
恶搞大王 + 2 + 1 谢谢@Thanks!
夜陌 + 3 + 1 我很赞同!
weidechan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Kmore + 1 鼓励转贴优秀软件安全工具和文档!
ClearLover + 1 + 1 我已经把我能遇到的每一台电脑都装上了火绒,上次去医院看病还顺手装了几台.
执骨哟 + 1 + 1 用心讨论,共获提升!
johnnyqian97 + 1 + 1 用心讨论,共获提升!
大嘴 + 1 + 1 谢谢@Thanks!
pousse + 1 我很赞同!
zhanglei91186 + 1 + 1 我很赞同!
timeni + 1 + 1 用心讨论,共获提升!
pdcba + 1 + 1 谢谢@Thanks!
tomhex + 1 用心讨论,共获提升!
ningmng + 1 + 1 我很赞同!
噬魂丶雨珠 + 1 + 1 用心讨论,共获提升!
ff5500 + 1 火绒,YYDS,只要你发贴,我就给你分!!
mcc20221111 + 1 + 1 我很赞同!
mykvbps + 1 + 1 谢谢@Thanks!
xiaoxiaodeniao + 1 我很赞同!
danshiyuan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ICEY + 3 + 1 谢谢@Thanks!
XXXXXXXXMMMM + 1 + 1 热心回复!
Chaos666 + 1 用心讨论,共获提升!
posheng + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wuaiwuaiwuaila + 1 我很赞同!
Bryan0369 + 1 + 1 我很赞同!
cooker689 + 1 我很赞同!
cyw668 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
c7129 + 1 太强了了吧,膜拜一下
dizzy0001 + 1 + 1 热心回复!
VIP中P + 1 + 1 谢谢@Thanks!
xiangbaba + 1 + 1 感谢您的宝贵建议,我们会努力争取做得更好!
Patches + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

hufengz 发表于 2022-11-17 09:28
win10时代感觉病毒的存在感弱了不少,主要是木马多了,正常操作,不乱点击网页和下载问题不大。也很感谢火绒这样的杀毒软件一直在努力做好的防护措施。
tyjjk 发表于 2022-11-16 20:33
自从有了火绒,一直在用

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
sqk950143960 + 1 + 1 我很赞同!
TGCFXBP + 1 + 1 热心回复!

查看全部评分

至尊丶 发表于 2022-11-16 19:30
lihuahua1234 发表于 2022-11-16 19:42
太强了了吧,膜拜一下
sxp3468 发表于 2022-11-16 19:57
火绒加油 安全靠您了
kimchow 发表于 2022-11-16 20:07
虽然看不懂,但是很强大,学习
skywalker0123 发表于 2022-11-16 20:17
确实有点可怕
KKBon 发表于 2022-11-16 20:22
太强了各种收集
angle951 发表于 2022-11-16 20:33
感谢分享
sp0770 发表于 2022-11-16 20:41
64位是主流,也难怪病毒越来越多
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 06:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表