攻击技术研判｜Roshtyak中使用的内存防御规避策略

Roshtyak拥有多达14层的自我保护，每层都经过了混淆且拥有不同的执行目的。在每层有包含有许多反调试、反沙箱和反虚拟化、模拟器的技巧，一旦其中一项成功检测到分析环境，Roshtyak将根据采取4种策略来退出执行。

1. 结束进程，直接调用自身的TerminateProcess退出进程，避免显示进一步的恶意行为。

2. 故意崩溃，由于Roshtyak的高度混淆， 目前尚不清楚该崩溃是故意造成还是编写疏忽造成的漏洞

3. 无限循环，Roshtyak进入一个无限循环的流程代码中，做无效操作。

4. 释放假旗，在第8层的加密数据中同时存储了真实的第9层载荷和虚假的假旗载荷（一个名为BroAssist的广告软件），如果所有的检测都i通过Roshtyak将解密执行真实的载荷，否则将释放执行假旗载荷来欺骗分析人员。

AVAST表示Roshtyak的假旗行为非常有效，成功误导了一名恶意软件分析人员认为其只是一个古老的广告软件。

隐藏shellcode

共享内存内字节的直方图，每个字节都平均分布的，比较“随机”，除了最左边的0字节比其他字节出现次数略高

共享段中的shellcode代码，很难找出起始地址，因为其通常是位操作指令bt

构造ROP链清理内存痕迹

由 VirtualFree -> UnmapViewOfFile -> next layer -> RtlExitUserThread组成放入一个简单ROP链

自定义的PE结构

Roshtyak的每层执行体应该最初都是编译生成的PE可执行文件，Roshtyak将其中除了绝对必要的数据（入口点、节区、导入表和重定向表等）等其他都被移除了，Roshtyak拥有2种自定义的格式来存储组织这些PE信息。而且这些自定义格式PE的某些部分会加密，使用一些反分析的检查结果生成的密钥进行解密。

想要将Roshtyak每层的执行体转换回独立的PE文件比较困难，必须在逆向分析Roshtyak的自定义结构的基础上重建PE头、节区、导入表等。

图中显示的自定义结构，raw_size 对应 SizeOfRawData, raw_size + virtual_padding_size 对应 VirtualSize。缺少VirtualAddress和PointerToRawData等效,因为Roshtyak将按顺序加载这些节区