海量未知木马机器分析

1、海量未知木马机器分析黄正 黄正 百度，基础架构部，安全组 高级安全研发工程师 主要研究方向 恶意代码检测 钓鱼欺诈检测 一封邮件导致严重入侵事件 提取后门特征，确定感染面 如何避免类似攻击发生 反病毒邮件网关 仅修改一个字节即可绕过反病毒邮件网关 CVE-2012-0158 POC ，Gmail , 网易邮箱 安全卫士+杀毒软件 无法应对高级木马 不符合详细分析需求 动态沙箱分析 观察、监控、修改程序二进制代码Movzx ecx, rax+02xCall 0 x77ef7870Cmp rax, rdxJz 0 x77f1eac9some codesome codeMovzx ecx, rax+

2、02x some codesome codeCall 0 x77ef7870some codesome codeCmp rax, rdxsome codesome codeJz 0 x77f1eac9 模块间控制转移Notepad.exeKernel32.dllntdll.dllCall/JMPRetCall/JMPRetCall/JMPRet 改写所有控制转移指令 Call 0 x12341234/dword ptr 0 x12341234 Call eax/dword ptr ebx+08h Jmp 0 x11223344/dword ptr 0 x11223344 Jmp eax/dwo

3、rd ptr eax+08h Ret Ret 4 得到程序完整执行轨迹 srcaddr:00406F7C destaddr:7C80236B srcaddr:7C802398 destaddr:00487D07 srcaddr:004070F4 destaddr:7C839725 srcaddr:7C839742 destaddr:00487D3C srcaddr:004071C4 destaddr:7C8021D0 srcaddr:7C8021FA destaddr:00487D6A srcaddr:0040726C destaddr:7C80BA30 srcaddr:7C80BA59 de

4、staddr:00487D8C srcaddr:00487C60 destaddr:7C92DEF0 srcaddr:7C92DEFC destaddr:00487C62 执行轨迹+符号sample.exe+0 x6f7c - CreateProcessA+0 x0CreateProcessA+0 x2d - sample.exe+0 x87d07sample.exe+0 x70f4 - GetThreadContext+0 x0GetThreadContext+0 x1d - sample.exe+0 x87d3csample.exe+0 x71c4 - ReadProcessMemory+

5、0 x0ReadProcessMemory+0 x2a - sample.exe+0 x87d6asample.exe+0 x726c - VirtualQueryEx+0 x0VirtualQueryEx+0 x29 - sample.exe+0 x87d8csample.exe+0 x87c60 - ZwUnmapViewOfSection+0 x0ZwUnmapViewOfSection+0 xc - sample.exe+0 x87c62 执行轨迹+符号+函数调用参数MBR srcaddr:00406F7C sample.exe+0 x6f7c - destaddr:7C80236Bk

6、ernel32.dll!CreateProcessA+0 x0lpCommandLine= 00000000lpApplicationName= “C:IEXPLORE.EXE”dwCreationFlags = 00000004wShowWindow = 0 覆盖常用对象n进程n线程n文件n目录n注册表n内存操作n权限提升 nDNS查询nHttp请求nSocketn窗体n事件n互斥n字符串n 基于执行轨迹分析判定 上百条判定依据 基于执行轨迹分析判定 Huigezi0 : 打开delphi的注册表1 : suspend方式创建进程 : c:tempsample.exe2 : 获取线程上下文3

7、 : 卸载其他进程内存 : c:tempsample.exe4 : 注入代码到进程 : c:tempsample.exe5 : 设置线程上下文6 : 启动socket网络连接7 : 创建事件 : 00000000样本名称样本说明貔貅系统检出结果某沙箱检出结果ErrorReport1APT攻击样本1病毒类型:后门病毒信息:Ghost后门远程注入其他进程ErrorReport2APT攻击样本2病毒类型:后门病毒信息:svchost后门篡改系统文件关闭Windows系统文件保护Gh0st.exe Gh0st后门病毒类型:后门病毒信息:Ghost后门运行后删除自身，警惕恶意软件！WOW盗号木马盗号木马病毒类型:盗号木马病毒信息:魔兽世界,龙之谷盗号木马疑似查找游戏进程运行后删除自身，警惕恶意软件！大白鲨大白鲨后门病毒类型:后门病毒信息:大白鲨后门启动宿主进程，注入代码尝试连接疑似黑客主机天空下载病毒天空下载站ARP攻击下载病毒病毒类型:后门病毒信息:大白鲨后门2运行后删除自身，警惕恶意软件！灰鸽子灰鸽子病毒类型:后门病毒信息:delphi后门运行后删除自身，警惕恶意软件！非法注入系统进程，绑定监听端口。启动宿主进程，注入代码，茶苑推广百度搜索茶苑推广绑马病毒类型:Adware病毒信息:StartPage疑似捆绑多个文件，警惕流氓软件捆绑推广或病 文档类样本 多杀毒软件引擎? A