海量未知木馬機(jī)器分析

1、海量未知木馬機(jī)器分析黃正 黃正 百度，基礎(chǔ)架構(gòu)部，安全組 高級(jí)安全研發(fā)工程師 主要研究方向 惡意代碼檢測(cè) 釣魚欺詐檢測(cè) 一封郵件導(dǎo)致嚴(yán)重入侵事件 提取后門特征，確定感染面 如何避免類似攻擊發(fā)生 反病毒郵件網(wǎng)關(guān) 僅修改一個(gè)字節(jié)即可繞過反病毒郵件網(wǎng)關(guān) CVE-2012-0158 POC ，Gmail , 網(wǎng)易郵箱 安全衛(wèi)士+殺毒軟件 無法應(yīng)對(duì)高級(jí)木馬 不符合詳細(xì)分析需求 動(dòng)態(tài)沙箱分析 觀察、監(jiān)控、修改程序二進(jìn)制代碼Movzx ecx, rax+02xCall 0 x77ef7870Cmp rax, rdxJz 0 x77f1eac9some codesome codeMovzx ecx, rax+

2、02x some codesome codeCall 0 x77ef7870some codesome codeCmp rax, rdxsome codesome codeJz 0 x77f1eac9 模塊間控制轉(zhuǎn)移Notepad.exeKernel32.dllntdll.dllCall/JMPRetCall/JMPRetCall/JMPRet 改寫所有控制轉(zhuǎn)移指令 Call 0 x12341234/dword ptr 0 x12341234 Call eax/dword ptr ebx+08h Jmp 0 x11223344/dword ptr 0 x11223344 Jmp eax/dwo

3、rd ptr eax+08h Ret Ret 4 得到程序完整執(zhí)行軌跡 srcaddr:00406F7C destaddr:7C80236B srcaddr:7C802398 destaddr:00487D07 srcaddr:004070F4 destaddr:7C839725 srcaddr:7C839742 destaddr:00487D3C srcaddr:004071C4 destaddr:7C8021D0 srcaddr:7C8021FA destaddr:00487D6A srcaddr:0040726C destaddr:7C80BA30 srcaddr:7C80BA59 de

4、staddr:00487D8C srcaddr:00487C60 destaddr:7C92DEF0 srcaddr:7C92DEFC destaddr:00487C62 執(zhí)行軌跡+符號(hào)sample.exe+0 x6f7c - CreateProcessA+0 x0CreateProcessA+0 x2d - sample.exe+0 x87d07sample.exe+0 x70f4 - GetThreadContext+0 x0GetThreadContext+0 x1d - sample.exe+0 x87d3csample.exe+0 x71c4 - ReadProcessMemory+

5、0 x0ReadProcessMemory+0 x2a - sample.exe+0 x87d6asample.exe+0 x726c - VirtualQueryEx+0 x0VirtualQueryEx+0 x29 - sample.exe+0 x87d8csample.exe+0 x87c60 - ZwUnmapViewOfSection+0 x0ZwUnmapViewOfSection+0 xc - sample.exe+0 x87c62 執(zhí)行軌跡+符號(hào)+函數(shù)調(diào)用參數(shù)MBR srcaddr:00406F7C sample.exe+0 x6f7c - destaddr:7C80236Bk

6、ernel32.dll!CreateProcessA+0 x0lpCommandLine= 00000000lpApplicationName= “C:IEXPLORE.EXE”dwCreationFlags = 00000004wShowWindow = 0 覆蓋常用對(duì)象n進(jìn)程n線程n文件n目錄n注冊(cè)表n內(nèi)存操作n權(quán)限提升 nDNS查詢nHttp請(qǐng)求nSocketn窗體n事件n互斥n字符串n 基于執(zhí)行軌跡分析判定 上百條判定依據(jù) 基于執(zhí)行軌跡分析判定 Huigezi0 : 打開delphi的注冊(cè)表1 : suspend方式創(chuàng)建進(jìn)程 : c:tempsample.exe2 : 獲取線程上下文3

7、 : 卸載其他進(jìn)程內(nèi)存 : c:tempsample.exe4 : 注入代碼到進(jìn)程 : c:tempsample.exe5 : 設(shè)置線程上下文6 : 啟動(dòng)socket網(wǎng)絡(luò)連接7 : 創(chuàng)建事件 : 00000000樣本名稱樣本說明貔貅系統(tǒng)檢出結(jié)果某沙箱檢出結(jié)果ErrorReport1APT攻擊樣本1病毒類型:后門病毒信息:Ghost后門遠(yuǎn)程注入其他進(jìn)程ErrorReport2APT攻擊樣本2病毒類型:后門病毒信息:svchost后門篡改系統(tǒng)文件關(guān)閉Windows系統(tǒng)文件保護(hù)Gh0st.exe Gh0st后門病毒類型:后門病毒信息:Ghost后門運(yùn)行后刪除自身，警惕惡意軟件！WOW盜號(hào)木馬盜號(hào)木馬病毒類型:盜號(hào)木馬病毒信息:魔獸世界,龍之谷盜號(hào)木馬疑似查找游戲進(jìn)程運(yùn)行后刪除自身，警惕惡意軟件！大白鯊大白鯊后門病毒類型:后門病毒信息:大白鯊后門啟動(dòng)宿主進(jìn)程，注入代碼嘗試連接疑似黑客主機(jī)天空下載病毒天空下載站ARP攻擊下載病毒病毒類型:后門病毒信息:大白鯊后門2運(yùn)行后刪除自身，警惕惡意軟件！灰鴿子灰鴿子病毒類型:后門病毒信息:delphi后門運(yùn)行后刪除自身，警惕惡意軟件！非法注入系統(tǒng)進(jìn)程，綁定監(jiān)聽端口。啟動(dòng)宿主進(jìn)程，注入代碼，茶苑推廣百度搜索茶苑推廣綁馬病毒類型:Adware病毒信息:StartPage疑似捆綁多個(gè)文件，警惕流氓軟件捆綁推廣或病 文檔類樣本 多殺毒軟件引擎? A