吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4808|回复: 32
收起左侧

[PC样本分析] Shiz病毒新变种出现 多种对抗窃取信息

   关闭 [复制链接]
火绒安全实验室 发表于 2024-1-11 18:05
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2024-1-12 09:26 编辑

近期,火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体,在被激活后能够窃取用户电脑上的敏感信息,并可以执行其他恶意操作。不仅如此,当受害者访问杀毒软件网址时,还会被劫持到google的网址,对用户构成较大干扰。 病毒运行后,首先,会使用对抗手段检测虚拟机环境和杀毒软件,捕获的变种样本使用了多种对抗手段,除了采用shellcode分块执行外,还通过PUSH RET来混淆IDA反编译的调用流等手段对抗杀软;随后,将恶意模块注入到系统进程中执行,进行数据窃取、屏幕截图、DNS劫持等恶意操作。该病毒执行流程,如下图所示:

Image-0.png

病毒执行流程图



目前,火绒安全产品可对上述病毒进行拦截查杀,请火绒用户及时更新病毒库以进行防御。火绒工程师建议大家,安装并定期更新杀毒软件、防火墙和安全补丁,确保始终保持最新的安全防护。

Image-1.png

查杀图


一、样本分析
混淆和对抗手段
病毒启动之后由最外层的Loader来进行加载,在最外层的Loader中具有多种混淆方式,通过执行大量垃圾代码来混淆安全人员的分析,还会无意义地调用冷门API这种方式,检测虚拟行为沙盒环境的真实性,相关代码,如下图所示:

Image-2.png

混淆代码



为了防止安全人员分析,该病毒在最外层的Loader中还使用PUSH + RET的方式来进行函数调用,这样可以对IDA的反编译功能进行混淆,如下图所示:

Image-3.png

PUSH RET混淆



通过解密执行shellcode,相关代码,如下图所示:

Image-4.png

执行shellcode




在shellcode执行过程中,它被分成多个块顺序执行。执行完一个块后,执行过的块会被加密,然后再解密并执行下一个块。相关代码,如下图所示:

Image-5.png

shellcode 加解密执行



shellcode主要负责从资源中获取内层模块,解密并加载到内存中,相关代码,如下图所示:

Image-6.png

内存加载内层模块



在内层模块中会检测虚拟机环境,相关代码,如下图所示:

Image-7.png

检测虚拟机环境



还通过调用Windows防火墙API将自身添加到Windows防火墙的授权应用程序列表中,相关代码,如下图所示:

Image-8.png

添加到防火墙白名单



该模块还会将自身拷贝到添加到“ C:\Windows\apppatch”目录中,并添加开机自启动中进行持久化操作,相关代码,如下图所示:

Image-9.png

添加自启动项




该模块执行初始化操作之后,会将shellcode注入到系统进程中执行,相关代码,如下图所示:

Image-10.png

注入系统进程执行恶意模块



shellcode主要负责将最终的恶意模块进行内存加载,相关代码,如下图所示:

Image-11.png

shellcode



内层恶意模块

该恶意模块使用DGA域名生成算法来动态产生大量的域名,这样做的好处是可以避开基于静态黑名单的防御系统,因为这些系统通常是通过拦截已知的恶意域名来阻止恶意流量的,黑客可以随时注册其中的域名来使用,这样传统的基于签名的防御方法往往无法及时响应这种动态生成的域名,从而使得恶意软件能够持续与C2服务器进行通信,即使其中一些域名被识别并加入黑名单。DGA算法,如下图所示:

Image-12.png

使用自定义DGA算法生成域名



DGA算法计算出的部分域名列表,分析过程中,暂未发现存活的C&C服务器,不排除后续这些域名会被注册,如下图所示:

Image-13.png

部分域名列表



通过DGA域名算法,计算出C&C服务器之后,会连接C&C服务器,执行C&C服务器下发的命令,相关代码,如下图所示:

Image-14.png

指令C&C服务器下发的命令



load命令

从C&C服务器下载恶意模块并执行,相关代码,如下图所示:

Image-15.png

load命令



kill_os命令

清空磁盘MBR和删除关键注册表项,导致系统出错,相关代码,如下图所示:

Image-16.png

kill_os命令



该恶意模块会将自身注入到其他进程中如:系统进程、浏览器进程、svchost.exe(DNS缓存服务器)等进程中来执行各种恶意代码,相关代码,如下图所示:

Image-17.png

注入其他进程中



如果发现自身进程名为svchost.exe就会HOOK DNS相关的函数来进行DNS劫持,相关代码,如下图所示:

Image-18.png

DNS劫持



以HOOK DnsQuery_A函数为例,当受害者访问杀毒软件的网址时会被劫持到google的网址,相关代码,如下图所示:

Image-19.png

劫持杀毒软件域名到google



通过HOOK  GetClipboardData函数来监控受害者剪贴板数据,相关代码,如下图所示:

Image-20.png

监控剪贴板数据



通过HOOK多个用于处理签名文件的第三方库,如果发现签名文件就会上传至C&C服务器,相关代码,如下图所示:

Image-21.png

窃取签名文件



通过HOOK Winininet.dll来记录受害者电脑中访问的各种网页信息,相关代码,如下图所示:

Image-22.png

HOOK Wininet.dll



同时还会对这些信息进行过滤,如果包含指定网站的登录凭证等信息,会被记录并上传至C&C服务器中,以HttpSendRequestW函数为例,相关代码,如下图所示:

Image-23.png

窃取登录凭证



还会通过HOOK 消息相关的函数来进行键盘记录,相关代码,如下图所示:

Image-24.png

HOOK 消息相关的函数



以HOOK_TranslateMessage函数为例,相关代码,如下图所示:

Image-25.png

HOOK_TranslateMessage



该病毒还会获取受害者的屏幕截图,相关代码,如下图所示:

Image-26.png

获取屏幕截图



二、附录


HASH:
Image-27.png

免费评分

参与人数 8吾爱币 +6 热心值 +7 收起 理由
MG_0409 + 1 + 1 我很赞同!
APWN + 1 + 1 谢谢@Thanks!
pod2023 + 1 谢谢@Thanks!
shadmmd + 1 谢谢@Thanks!
ShineRain + 1 谢谢@Thanks!
mmffddyy + 1 + 1 我很赞同!
wilist + 1 + 1 用心讨论,共获提升!
秋风君 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

qnom8Tos 发表于 2024-1-14 07:54
大多数病毒木马都是病毒产商写的,这话一点不假。这功能面面俱到,不知道伸手越多,被发现概率越大吗。。所以说,病毒木马看似专业其实不专业
APWN 发表于 2024-1-15 12:07
第一次这么直观的感受到病毒代码的编写逻辑,原理病毒的编写是需要考虑挺多的,并且代码量不少,逻辑缜密。火绒大佬的分析是真的具体,值得收藏学习,谢谢大佬!
qqycra 发表于 2024-1-11 19:13
KaneHiroshi 发表于 2024-1-11 19:56
火绒大佬太强了,虽然看不懂,不过相信你们的软件!
wuai1157 发表于 2024-1-11 20:45
有些破解软件运行都提示病毒木马,都不知道怎么辨别是否真病毒还是误报
txj66 发表于 2024-1-11 21:15
学习一下,就是看不太明白
aonima 发表于 2024-1-11 21:31
前排围观
mightab2024 发表于 2024-1-11 21:56
前排围观
鬼见愁 发表于 2024-1-11 22:17
看不懂,围观看评论。
Lantianyu87 发表于 2024-1-11 22:49
请问这个病毒代码是脱壳的吗?最近我也在研究 病毒加壳代码中......
amwquhwqas128 发表于 2024-1-11 23:16
多谢如此详细的文章
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 03:25

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表