针对一个强对抗红队攻击样本的详细分析

安全分析与研究

专注于全球恶意软件的分析与研究

前言概述

原文首发出处:

https://xz.aliyun.com/t/14610


先知社区 作者:熊猫正正


近日在微步沙箱平台闲逛的时候,发现一个有意思的样本,如下所示:

针对一个强对抗红队攻击样本的详细分析

沙箱动态检测,相关恶意行为没有跑出来,如下所示:

针对一个强对抗红队攻击样本的详细分析

相关网络行为也没有跑出来,如下所示:

针对一个强对抗红队攻击样本的详细分析

从名字上来看,如果样本是恶意的,猜测这大概率是一个红队样本,但是沙箱没有跑出来,里面肯定包含强对抗技术了,对于这类免杀强对抗型的攻击样本,里面包含很多攻击技术和免杀技术,都值得去深入的分析和研究,从别人的样本中去学习别人的免杀对抗技术。


详细分析

1.样本伪造成企业微信的安装程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

2.遍历当前目录下的文件个数以及对比文件信息,如果不满足条件,则退出程序,这里有三处比较,如下所示:

针对一个强对抗红队攻击样本的详细分析

3.获取系统最近使用目录下的文件个数,如下所示:

针对一个强对抗红队攻击样本的详细分析

4.如果最近使用目录下的文件个数小于5,或者GetTickCount的值小于0x75300,则退出程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

5.获取时间间隔信息,如果不满足条件,则退出程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

6.遍历系统服务信息,如果发现VMWare或Virtual Box等服务,则退出程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

7.获取系统内存大小,如果不满足条件,则退出程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

8.如果满足条件,则执行下面的操作,如下所示:

针对一个强对抗红队攻击样本的详细分析

9.解密出相应的URL地址,如下所示:

针对一个强对抗红队攻击样本的详细分析

10.然后通过URL向服务器端发起请求,如下所示:

针对一个强对抗红队攻击样本的详细分析

11.解密出相应的URL地址,如下所示:

针对一个强对抗红队攻击样本的详细分析

12.弹出一个迷惑性对话框,如下所示:

针对一个强对抗红队攻击样本的详细分析

13.通过URL从远程服务器上下载加密数据,如下所示:

针对一个强对抗红队攻击样本的详细分析

14.对加密的数据进行解密,解密过程,如下所示:

针对一个强对抗红队攻击样本的详细分析

15.解密之后在指定的目录生成恶意程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

16.生成的恶意程序,如下所示:

针对一个强对抗红队攻击样本的详细分析

17.最后通过ShellExecuteW调用生成的恶意程序,并带参数baidudocument执行,如下所示:

针对一个强对抗红队攻击样本的详细分析

18.恶意程序运行之后,判断是否包含参数,如果不包含,则直接退出,如下所示:

针对一个强对抗红队攻击样本的详细分析

19.解密出解密密钥N0n-FJTiMJa871z,如下所示:

针对一个强对抗红队攻击样本的详细分析

20.通过密钥解密出URL地址,如下所示:

针对一个强对抗红队攻击样本的详细分析

21.通过URL向服务器端发起请求,如下所示:

针对一个强对抗红队攻击样本的详细分析

22.将加密的数据拷贝到内存当中,如下所示:

针对一个强对抗红队攻击样本的详细分析

23.加密的数据硬编码在程序中,如下所示:

针对一个强对抗红队攻击样本的详细分析

24.在内存中解密出ShellCode代码,如下所示:

针对一个强对抗红队攻击样本的详细分析

25.分配内存空间,如下所示:

针对一个强对抗红队攻击样本的详细分析

26.将解密出来的ShellCode代码拷贝到该内存空间当中,如下所示:

针对一个强对抗红队攻击样本的详细分析

27.然后创建线程执行ShellCode代码,如下所示:

针对一个强对抗红队攻击样本的详细分析

28.ShellCode代码,如下所示:

针对一个强对抗红队攻击样本的详细分析

29.远程服务端的IP地址8.138.124.182,如下所示:

针对一个强对抗红队攻击样本的详细分析

30.ShellCode代码匹配到相关的CS特征,如下所示:

针对一个强对抗红队攻击样本的详细分析

通过分析该样本可能为某红队攻击样本,具有强对抗性,加密算法是经过设计的,反沙箱做的也还可以,自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。


威胁情报

针对一个强对抗红队攻击样本的详细分析


总结结尾

做安全,免杀是一个永恒的话题,是一场猫捉老鼠的游戏,通过研究一些对抗型的攻击样本,可以更好的了解攻击者在使用什么技术。


原文始发于微信公众号(安全分析与研究):针对一个强对抗红队攻击样本的详细分析

版权声明:admin 发表于 2024年6月14日 上午8:26。
转载请注明:针对一个强对抗红队攻击样本的详细分析 | CTF导航

相关文章