' l- u1 M$ {$ `: X( W
% Z' [" C5 x- V* c; m
% W- ~" K6 ?( \- I
7 M7 z/ D6 X$ a
: M6 E. u' L U8 y. c( {; [
h' o/ e& j8 }# o4 k6 ~) D5 F
3 f& p) v t* W' Y( f" C r) W 简介" ^3 F8 W+ w2 T
7 z- _6 O3 d8 H7 q; ]+ `: l; f$ [, E6 m
: `" Q5 D) V b8 v$ O P" `
0 z ^$ J5 z3 V" p; S, \7 v6 r1 ?# q% R2 U
为了绕过静态和动态分析,威胁组织经常为恶意程序采取"加壳"或"加密"措施,并且这种做法非常流行。实际上,免杀和查杀是一个军备竞赛,因此,在这场持久战中,各种新技术会不断涌现,并被迅速采用。例如,据我们观察,许多加密服务都是由地下论坛提供的,他们声称能够绕过反病毒技术、沙箱和其他端点解决方案,任何恶意软件只要采用了他们的服务,就能够实现“完全无法检测(Fully Undetectable,FUD)”的效果。我们还发现,越来越多的威胁组织正在设法模拟正常的用户行为,并将其作为基于恶意软件指纹分析技术的有效对策。1 y Z A; u. M% w# i4 [+ N" W9 ?
* c2 ?, T: {1 u+ A: _+ v
9 q) Z1 r1 Q9 Z( _
恶意软件的保护神:Delphi代码6 L/ S) p& ]( `: A2 K# v1 S
8 p& E0 m( [& a6 p! N0 ~
) ^2 V3 C1 I" G$ Z
8 p* D3 O. g" k: y4 d/ S# P& f
5 i6 n3 _- B* J! ?
+ m1 N8 k" o% W# N+ v# X 在这里,我们所考察的样本具有Delphi签名(见图1),并且与使用IDR(Interactive Delphi Reconstructor)分析时看到的Delphi代码构造完全一致。, X* P+ f3 @# r3 ^7 f
# |2 y* ^* a; V1 @, Z) F. ^0 e7 O( s$ G2 ?/ T. ]. ]
" B9 G; u' I# j9 A3 Z% x
9 O/ b: B: g6 s! s+ P4 j! j: H
& [, v1 C# M( E' P, V* b 图1:样本中的Delphi签名+ d& p* Q) e, r' m0 R, o+ `2 N, H
: v7 L# ~ E _4 \. b/ W* ^3 {
9 p1 I$ ^$ D. D8 J 对于基于Windows API函数的应用程序和程序来说,Delphi是一种简单易用的编程语言。事实上,一些组织会故意将某些默认库包含进恶意软件中,以此转移静态分析人员的注意力,并能让应用程序在进行动态分析时“看起来很正常”。图2显示的地下论坛帖子,就是在讨论这些技术。
( `- _' L# O( T$ s6 f$ D: \0 e
# M0 K$ G! }& f8 i. I2 j5 h$ Y. l3 F, | H7 d
6 R5 u2 w, ]# }* P/ \8 v; Q
- |' o3 ]5 t( p5 v7 K% z
, d0 y0 \) C& \7 x& {$ v 图2:地下论坛中的免杀技术帖# l, A4 N" m% b9 Y4 b* @' B' ?5 a
% N0 n+ Z6 v1 N* l
" y$ E4 @: v& Y9 u 有效载荷的投递
) M H7 r+ n" n* R " a( _0 n. r8 ]7 R/ F
+ | }( w. i# |; t. n' R' A6 O$ C
/ z% _ u: e5 f! n! l , x" |: V) P ^7 v6 ~
4 v: L: f: r8 m: s+ n4 { 我们发现,许多攻击组织都曾利用这种有效载荷进行加壳处理,然后通过垃圾邮件进行分发,当然,针对不同的人群,他们会使用不同的邮件主题。9 R ]/ o/ d5 p" {1 [
$ t% C2 n# ?! k+ [+ w% W2 J; |# q# F. ~4 E+ {# O
一个样本是与电汇有关的垃圾邮件,它将一个文档文件作为邮件附件(哈希值:71cd5df89e3936bb39790010d6d52a2d),其作用是利用恶意宏来投递有效载荷。该垃圾邮件如图3所示。* n8 v P! _* X8 j, {' l
; b* l5 p7 i1 ^& k: c
1 A G. X# {" r9 D( D; W ! p% | `& E( w+ J, ^
9 Z; k0 `9 o" D3 f+ e; h. f) e
$ B1 i2 u& D( {' n 图3:垃圾邮件样本1+ X* D2 C) y; ]$ q* J: ~" R
, d! |( g' j/ N7 ]* {
T9 @2 z0 x+ `) j c* S2 m
另一个例子是报价方面的垃圾邮件,它将一个漏洞利用文档文件作为附件(哈希值:0543e266012d9a3e33a9688a95fce358),其作用是利用公式编辑器漏洞来投递有效载荷(图4)。
2 {) p! @8 ~& q! l" u
( a9 `; ], U# a: V# w% e3 \* r. e" K. i5 w6 @- Q- L
2 ?8 D) O9 M) b; c+ Z% o+ Y
9 [+ Q, n! r' K8 ]. l# H0 P8 I- x3 z
图4:垃圾邮件样本2
& H- p8 P( K- ~$ a8 u; w" Q# G5 g5 v
2 u- W7 m) |- ]
2 c+ c7 y# K+ ^: X; \- W( z 样本中的文档会从http://5.152.203.115/win32.exe下载有效载荷,其实,就是Lokibot恶意软件。 5 a5 C/ v0 B) k: N ~2 a
5 Y$ }1 A- y: e+ T* J( N1 Y% _* ]1 r) h6 O$ i3 X
用户行为检测! U( d5 b! j$ D% N5 K5 V
! e ?( I1 b! o7 \/ G1 F, g2 m, m
" N2 n) G; N2 D# z
2 H" R" ~4 `, y8 _' Y
& I4 ?" U% d g" y d5 o. Z% {4 U } S# {! w M
这个加壳器会尽力确保自己不在安全分析环境中运行。对于普通用户来说,通常会在一定时间内切换多个应用程序窗口。该加壳器的第一个变体,会使用GetForegroundWindow API来检测用户切换窗口的次数,准确来说,只有切换三次之后,它才会继续执行其他代码。如果它没有检测到窗户的变化,就会自动进入无限期的睡眠状态,具体代码如图5所示。有趣的是,尽管这种技术非常简单,却能检测到多种常用的沙箱。+ o$ N1 ^5 H* e' F$ f- S2 G) N
9 C7 K) C9 t" x0 d
# @0 H% m# G O , B4 E2 _: a: [, Q3 p! M
7 ~2 g1 g) \: d/ {' @8 B* T, K) ` ~1 c( u
图5:检测窗口的变化情况4 @7 b5 W% p, {1 J1 x* {
& D2 c# E0 a4 O! F+ b
3 o) r( z0 @! z. C3 G! b; ?. Z
为了对用户活动进行印证,加壳器的第二个变体使用GetCursorPos和Sleep API来检查鼠标和光标的移动情况,而第三个变体则使用GetLastInputInfo和GetTickCount API来检查系统的空闲状态。0 P' [! X& i0 e) G8 R* `& t
9 H1 X7 H% [6 I H
$ o) r) Y0 [7 N* G, u 从PE资源中提取实际有效载荷
8 d) ~! l2 R4 K# M8 M1 O( E
' h" Y. }% U, U. o
( |# m" P: z( H 2 M6 W9 t i- l, F
$ Q3 E- r' H5 e5 Q
( Y) l+ J) d; y- t
原始的有效载荷被拆分为多个二进制代码段,并分别存储在资源目录内的不同位置,如图6所示。
9 @; |8 O2 ?2 Q: V; h7 w) o ; @! }6 f6 H$ x0 c5 W6 u; P. U
' `$ |# J( B5 M
* a* S; t7 b& b* i1 `
9 |+ W2 g; l, W$ p
2 S3 T! P7 S# N4 Y, Z' y1 z0 S: r 图6:具有加密内容的位图资源' W- T. F* x# t4 z/ m8 v6 O& T
5 p" \0 c% {# q& v& ?
! b# f! p0 i; U7 D
为了定位和组装实际有效载荷的代码字节,该加壳器首先会从资源部分内硬编码的资源ID中读取相应的内容。其中,前16个字节用于生成一个XOR密钥,用于通过滚动XOR方法来解密其余字节。解密后的字节内容,实际上就是一些内部数据结构,具体如图7所示,供加壳器用于引用各种资源ID对应的缓冲区,注意,这些缓冲区都经过了相应的加密和混淆处理。7 e) o9 P- G/ z- U2 A1 i6 u' V
$ t+ c$ Z# l" n! d7 l& N2 e& [ f! |9 F
9 ~# P$ n" d* `, v" {: G* K
, S0 x# u @( H4 y0 c6 X6 [. S
: M! B4 @/ |* ?) i! W5 e
图7:展示加密文件信息的数据结构
0 t6 U1 C7 i- u$ o
' x/ p0 y ?+ x# S, {* x' p5 N6 \( \# ~) z7 O+ \
之后,该加壳器就会从加密缓冲区读取相应的值,从dwStartResourceId开始,直到dwStartResourceId+dwNumberOfResources为止;并通过读取dwChunkSize块信息将其放到一个地方。一旦准备好最终数据缓冲区,就会通过前面讲过的滚动XOR算法和上述结构中的新密钥对其进行解密,从而生成有效载荷可执行文件。这个脚本可用于静态提取实际有效载荷。
9 K) N. X% z$ I+ I: C
0 T7 N+ e0 a" W4 V6 k1 K& y0 i; V% j
恶意软件的家族分布
4 ~: ~+ v3 w, }" T 7 @ o: n4 z; J$ E1 @8 H% {
$ q: V0 H. U+ b# V7 W, n7 W
3 E$ {, ]# c" D: h4 C" _
{) I0 j, \$ h5 R# ?" v( N
* \2 L! B* \% [$ m' f3 W 根据我们从样本集中提取的许多未加壳的二进制文件来看,它们都属于Lokibot恶意软件家族。此外,我们还能够识别Pony、IRStealer、Nanocore、Netwire、Remcos和nJRAT恶意软件家族,以及挖矿恶意软件家族,等等。使用该加壳器的恶意软件家族的分布如图8所示。不难看出,这里出现了多种恶意软件家族,这意味着许多威胁组织正在使用这种“加密”服务/工具进行免杀处理,并且很可能是从开发人员本身那里购买的。8 ]5 E9 U+ E0 w1 M# w; m* E
: i# u7 Z7 z0 V0 k! d
3 a6 D3 @5 l+ Y Y% ? V" A
0 x% u; ^$ S7 e* _
* m1 }$ X. C" a& {& q# \+ I/ A0 m! W' }( Q; k
图8:使用该加壳器的恶意软件家族分布情况* _4 p1 P+ o2 [6 [
' h* t: S4 ^3 a% c1 x& w8 u, v9 z! v
小结
' |" c2 Q) V& _
% S. y Q% m/ U& w3 {5 G# N
& J) ?* k8 c O8 m: d . j/ C% O" ?+ W# r3 t" x
" P) z* b8 O' Z& x/ L- c
h& I( l+ l' r 自从有了加壳和加密服务之后,威胁组织就可以直接将有效载荷的免杀工作外包出去,一方面是简单省事,另一方面,还能提高免杀效果。而且,这些免杀服务的提供者经常会找到基于安全分析对抗技术的沙箱环境绕过方法;因此,利用模拟真实用户行为的沙箱环境来“引爆”恶意软件样本的方法已经不再可靠了。
) A# _, r1 b: Q- k+ n* y
. _, L L0 Z" @ `6 o6 a: w5 f7 ?% F5 Y# W, V. p$ Y* s- Y+ }3 x$ n
IOC
) z ~& w t" I+ N. A L- Y
; }! D# ]) Y, h; G% I5 q% H( d( Z, h4 ` U
: o6 a. d8 K% y2 w3 c% ~
1 Q" `2 e- [' b# Z) E# t; s
" }* u+ f# |9 N4 E4 _0 D; r) }- A 853bed3ad5cc4b1471e959bfd0ea7c7c
; \: H: U; n* s, P
) C, i, G% ]% s: ^+ b; T6 a; u0 `$ ^: i( d! ?2 J. O
e3c421d404c08809dd8ee3365552e305
, _" I: U. w* u( c, A
3 U# l% A! ^! G d3 V4 N1 \0 S: `8 X2 H+ d& `: A6 c
14e5326c5da90cd6619b7fe1bc4a97e11 A$ O9 Y. Y, p- A$ v$ t/ a
* q" q" A; _1 A; z. a; W& y6 ~* u, y: A# Q
dc999a1a2c5e796e450c0a6a61950e3f
% r( G6 D3 k# A1 [& i) k* b& B
8 w* Z3 x& _1 j# R o" q8 z) i
( N7 v" V) s' f 3ad781934e67a8b84739866b0b55544b
; k3 } a, f3 X3 Y8 n) T% L) ~+ W
3 w: [. ?) @( E0 X7 H1 K; @
9 M: y0 }7 [; i8 S9 l" x4 H b4f5e691b264103b9c4fb04fa3429f1e
# S' d, v% g1 j/ J
" i+ o* q/ f0 J
; Y: ]$ |, y* Y( ] " W' s) F- _! }% m7 K2 Q2 y
# |% n' i- e* c5 ]1 u( [
$ B7 U- `) U+ {% ^
h+ F1 k2 k# _ H6 x7 f4 P+ r
" @, p" A5 G" r/ s& j1 r! [# l+ @/ k! O7 c" o
; \; V& `& p' x, ?1 P6 n+ T1 j |