海量未知木马机器分析_第1页
海量未知木马机器分析_第2页
海量未知木马机器分析_第3页
海量未知木马机器分析_第4页
海量未知木马机器分析_第5页
已阅读5页,还剩17页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、海量未知木马机器分析黄正 黄正 百度,基础架构部,安全组 高级安全研发工程师 主要研究方向 恶意代码检测 钓鱼欺诈检测 一封邮件导致严重入侵事件 提取后门特征,确定感染面 如何避免类似攻击发生 反病毒邮件网关 仅修改一个字节即可绕过反病毒邮件网关 CVE-2012-0158 POC ,Gmail , 网易邮箱 安全卫士+杀毒软件 无法应对高级木马 不符合详细分析需求 动态沙箱分析 观察、监控、修改程序二进制代码Movzx ecx, rax+02xCall 0 x77ef7870Cmp rax, rdxJz 0 x77f1eac9some codesome codeMovzx ecx, rax+

2、02x some codesome codeCall 0 x77ef7870some codesome codeCmp rax, rdxsome codesome codeJz 0 x77f1eac9 模块间控制转移Notepad.exeKernel32.dllntdll.dllCall/JMPRetCall/JMPRetCall/JMPRet 改写所有控制转移指令 Call 0 x12341234/dword ptr 0 x12341234 Call eax/dword ptr ebx+08h Jmp 0 x11223344/dword ptr 0 x11223344 Jmp eax/dwo

3、rd ptr eax+08h Ret Ret 4 得到程序完整执行轨迹 srcaddr:00406F7C destaddr:7C80236B srcaddr:7C802398 destaddr:00487D07 srcaddr:004070F4 destaddr:7C839725 srcaddr:7C839742 destaddr:00487D3C srcaddr:004071C4 destaddr:7C8021D0 srcaddr:7C8021FA destaddr:00487D6A srcaddr:0040726C destaddr:7C80BA30 srcaddr:7C80BA59 de

4、staddr:00487D8C srcaddr:00487C60 destaddr:7C92DEF0 srcaddr:7C92DEFC destaddr:00487C62 执行轨迹+符号sample.exe+0 x6f7c - CreateProcessA+0 x0CreateProcessA+0 x2d - sample.exe+0 x87d07sample.exe+0 x70f4 - GetThreadContext+0 x0GetThreadContext+0 x1d - sample.exe+0 x87d3csample.exe+0 x71c4 - ReadProcessMemory+

5、0 x0ReadProcessMemory+0 x2a - sample.exe+0 x87d6asample.exe+0 x726c - VirtualQueryEx+0 x0VirtualQueryEx+0 x29 - sample.exe+0 x87d8csample.exe+0 x87c60 - ZwUnmapViewOfSection+0 x0ZwUnmapViewOfSection+0 xc - sample.exe+0 x87c62 执行轨迹+符号+函数调用参数MBR srcaddr:00406F7C sample.exe+0 x6f7c - destaddr:7C80236Bk

6、ernel32.dll!CreateProcessA+0 x0lpCommandLine= 00000000lpApplicationName= “C:IEXPLORE.EXE”dwCreationFlags = 00000004wShowWindow = 0 覆盖常用对象n进程n线程n文件n目录n注册表n内存操作n权限提升 nDNS查询nHttp请求nSocketn窗体n事件n互斥n字符串n 基于执行轨迹分析判定 上百条判定依据 基于执行轨迹分析判定 Huigezi0 : 打开delphi的注册表1 : suspend方式创建进程 : c:tempsample.exe2 : 获取线程上下文3

7、 : 卸载其他进程内存 : c:tempsample.exe4 : 注入代码到进程 : c:tempsample.exe5 : 设置线程上下文6 : 启动socket网络连接7 : 创建事件 : 00000000样本名称样本说明貔貅系统检出结果某沙箱检出结果ErrorReport1APT攻击样本1病毒类型:后门病毒信息:Ghost后门远程注入其他进程ErrorReport2APT攻击样本2病毒类型:后门病毒信息:svchost后门篡改系统文件关闭Windows系统文件保护Gh0st.exe Gh0st后门病毒类型:后门病毒信息:Ghost后门运行后删除自身,警惕恶意软件!WOW盗号木马盗号木马病毒类型:盗号木马病毒信息:魔兽世界,龙之谷盗号木马疑似查找游戏进程运行后删除自身,警惕恶意软件!大白鲨大白鲨后门病毒类型:后门病毒信息:大白鲨后门启动宿主进程,注入代码尝试连接疑似黑客主机天空下载病毒天空下载站ARP攻击下载病毒病毒类型:后门病毒信息:大白鲨后门2运行后删除自身,警惕恶意软件!灰鸽子灰鸽子病毒类型:后门病毒信息:delphi后门运行后删除自身,警惕恶意软件!非法注入系统进程,绑定监听端口。启动宿主进程,注入代码,茶苑推广百度搜索茶苑推广绑马病毒类型:Adware病毒信息:StartPage疑似捆绑多个文件,警惕流氓软件捆绑推广或病 文档类样本 多杀毒软件引擎? A

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论