正文

干货 | 极致反沙箱-银狐样本分析

admin
admin V管理员 /0 评论 /41 阅读
1223
此篇文章发布距今已超过19天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

文章前言

来源:先知社区,作者:哑木

原文:https://bbs.kanxue.com/thread-282743.htm

IOC

df2f4aad13fb6d08332e09fd47cd0c98

背景

近期看到一片推送说是发现了一个银狐的新样本,具有很强的反沙箱能力原文在这里:

我首先在wb沙箱查了下这个文件,确实没看到有啥行为,就带着好奇心分析了一把,在这里记录下

这篇文章也主要是分析样本的反沙箱手段,详细的攻击细节可以参考上面的推文。

技术手段分析

简单直接的shellcode动态加载

这个shellcode加载也是很粗暴了(甚至都没有异或加密下),就是简单的VirtualAlloc分配可执行地址后,复制shellcode到动态内存,jmp跳转到shellcode执行。

shellcode入口

用了一个很常见的手段 call + pop的方式获取shellcode地址,然后进行解密。接下来动态单步跟踪到解密的循环处,通过条件断点断下解密完成的时机解密完成后通过两个jmp指令来到解密后的真实shellcode的入口接着跟就会发现熟悉的shellcode操作,通过遍历PEB的LDR结构获取API地址

对抗细节

接下来直接分析dump下的内存

patch绕过(ETW/AMSI)

这一段的目的是patch ntdll.NtTraceEvent,用于绕过ETW。接着patch了amsi.AmsiScanBuffer,用于绕过AMSI接着进入正题,开始真正的对抗了。

检测Defender

这里就不留悬念了,直接给出这部分的全貌首先通过检查样本运行起来的路径,判断是不是":myapp.exe",如果是,直接退出进程(最开始想来应该是部分沙箱会将样本统一命名为myapp.exe后执行)获取进程加载的ntdll的导出表条目,遍历导出函数,计算散列值,看是否命中一个hash黑名单(3个),如果命中,退出进程。到这里我就很好奇它是想要检查哪3个api,由于hash是单向的,也没办法从hash得到api名,我只能试着搜了下这些hash,没想到最后在网上找到了它上面这一大堆操作的出处https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c原来以上操作都是为了对抗Defender的模拟执行。包括接下来利用Defender模拟执行环境某些api(NtIsProcessInJob、NtCompressKey)的硬编码的返回值来探测是否运行在Defender环境

检测沙箱(api假参数探测、分配大内存、物理内存、进程链检测、cpu、时间)

接下来部分是真的在对抗沙箱了。

首先调用了pid.DllGetClassObject,传入的rclsid和riid都是空值,所以理论上应该返回CLASS_E_CLASSNOTAVAILABLE,并且ppv为NULL,但如果这个api在沙箱里被hook的话,有可能为了让程序继续运行下去会选择返回成功。这里应该就是利用这个trick对抗沙箱。

接着通过分配大内存、指定物理Numa节点分配内存反沙箱、如果内存分配失败检查进程是否加载"SxIn.dll"模块(这里没看懂这个模块是有啥特殊的,求大佬指点...)这些操作如果失败了,直接退出进程接着检查进程、进程链信息只有满足以下任意一个条件才会继续执行1、进程命令行参数列表中有一个参数为't'2、样本父进程/父父进程为Explorer进程3、MsiExec.exe进程存活 并且 当前进程的SID和AllocateAndInitializeSid初始化的SID一致接下来常规的一些检测,检查cpu处理器数量、互斥体是否存在(防止双开)接着判断进程是否具有管理员权限,如果不是,尝试runas执行提升权限

接着继续反沙箱,检测特殊文件、时间加速检测(GetTickCount+Sleep)利用rdtsc指令和浮点运算指令计算指令运行的效率如果这段指令运算超过0xA个时钟周期,就认为在沙箱环境中,退出执行

对抗360

沙箱对抗完了,又继续对抗360,没完没了了...先看下是否有360进程/窗口接下来多次尝试通过发送窗口消息(WM_CLOSE)的方式关闭360并且在用EnumWindows枚举窗口时候,在回调函数中针对360进程的窗口,发送WM_CLOSE和WM_QUIT消息,尝试关闭窗口;向360进程的所有线程发送WM_QUIT消息,尝试退出线程。如果上面的工作做完了,360进程还是没被干掉,就要使出别的招了,通过下载反杀软的工具来对抗。这里链接失效了,我就不细探了,上面的推文里有涉及,主要是利用TrueSightKiller驱动强杀和利用句柄完成注入后强杀。如果还是不行...(360不行你认输吧,,,它太执着了),这玩意玩上了社工,给你弹窗诱导你退出你如果不上这个当,那他就退出了。

Defender加白

如果360进程不存在/被成功干掉了,会通过Powershell对指定目录加白这下真的没有了,后面的就是后门的功能了。

总结

这个样本利用了非常多的反杀软、沙箱的手段,其中有些还是否生效不得而知。简要总结下包括:1、patch绕过ETW、AMSI2、检测Defender模拟执行特征3、检测沙箱(cpu、api、内存、时间、文件)4、窗口消息、线程消息、虚假诱导弹窗对抗3605、驱动、句柄强杀

彩蛋

在圈子里交流发现,阿里云的沙箱(啥时候做的也不知道。。。)似乎能跑出来这个样本的一部分行为,能对上我分析的部分平台链接在这里:https://ti.aliyun.com/#/sastiFile感兴趣的朋友可以试试看,也很好奇为啥wb的没有成功,在哪一步被识别到了,欢迎交流

样本下载

后台回复 "20241223" 即可下载样本文件,解压密码: infected

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 一键击溃360+核晶

  • 一键击溃windows defender

  • 一键击溃火绒进程

  • CobaltStrike4.9.1二开 

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满200人,价格由208元调整为218元(交个朋友啦),300名以后涨价至248元!
关注微信公众号后台回复“入群”,即可进入星落安全交流群!

往期推荐

1.

3

4

5. 

声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客