曲速未来 提醒:增加使用Delphi Packer来躲避恶意软件分类
前言
区块链安全咨询公司 曲速未来 表示:“打包”或“加密”恶意程序的概念在希望绕过或破坏静态和动态分析工具分析的威胁参与者中广泛流行。逃避分类和检测是一种军备竞赛,其中新技术在野外交易和使用。例如,观察到许多加密服务由地下论坛提供,他们声称通过反病毒技术,沙箱和其他端点解决方案制作任何恶意软件“FUD”或“完全无法检测”。然后还看到了对正常用户活动建模的更多努力,并将其作为指纹恶意软件分析环境的有效对策。
Delphi Code to the Rescue
在检查的样本带有Delphi签名如下图所示,与使用IDR(Interactive Delphi Reconstructor)分析时的Delphi代码构造一致。
Delphi编程语言是编写利用Windows API函数的应用程序和程序的简便方法。事实上,一些演员故意将默认库包含为妨碍静态分析的转移,并使应用程序在动态分析中“看起来合法”。如下图显示了一个讨论这种技术的演员的论坛帖子。
分销活动
可以观察到许多具有不同主题的垃圾邮件活动会丢弃使用此打包程序打包的有效内容。
一个例子是平均快速传输垃圾邮件,它将文档文件作为附件,它利用恶意宏来删除有效负载。垃圾邮件如下图所示。
另一个例子是平均报价主题垃圾邮件,它将漏洞利用文档文件作为附件,利用公式编辑器漏洞来删除有效负载(下图所示)。
示例中的文档从http://5.152.203.115/win32.exe获取了一个有效负载。原来是Lokibot恶意软件。
用户活动检查
封隔器竭尽全力确保它不在分析环境中运行。普通用户活动涉及在一段时间内旋转或更改的许多应用程序窗口。打包器的第一个变体使用GetForegroundWindow API在进一步执行之前检查更改窗口的用户活动至少三次。如果它没有看到窗户的变化,它会使自己陷入无限的睡眠。代码如下图所示。有趣的是,这种简单的技术可以检测到一些公开可用的沙箱。
为了确认用户活动,打包器的第二个变体使用GetCursorPos和Sleep API检查鼠标光标移动,而第三个变体使用GetLastInputInfo和GetTickCount API检查系统空闲状态。
从PE资源中提取实际有效负载
原始有效负载被拆分为多个二进制blob,并存储在资源目录内的各个位置,如下图所示。
为了定位和组装实际有效负载字节,封装器代码首先直接从资源部分内的硬编码资源ID读取内容。它的前16个字节形成一个XOR密钥,用于使用滚动XOR解密其余字节。解密的字节实际上表示内部数据结构,如下图所示,由打包器用于引用各种资源ID的加密和混淆缓冲区。
然后,打包器从加密缓冲区读取值,从dwStartResourceId开始到dwStartResourceId+dwNumberOfResources,并通过读取dwChunkSize的块将它们带到一个位置。一旦准备好最终数据缓冲区,它就会开始使用前面提到的相同滚动XOR算法和上述结构中的新密钥对其进行解密,从而生成核心有效负载可执行文件。此脚本可用于静态提取实际有效负载。
真实的分类
不但能够从样本集中提取的许多解压缩的二进制文件被识别为属于Lokibot恶意软件系列。还能够识别Pony,IRStealer,Nanocore,Netwire,Remcos和nJRAT恶意软件系列,以及硬币挖掘恶意软件系列等。使用打包器的恶意软件系列的分布如下图所示。恶意软件系列的多样性意味着许多威胁参与者正在使用这种“加密”服务工具进行操作,可能从开发人员本身购买。
结论
区块链安全咨询公司 曲速未来 观点:打包者和加密器服务为威胁行为者提供了一种简单方便的选择,可以将尽可能长时间保持真实有效载荷的工作量外包出去并保持未分类。他们经常通过反分析技术找到绕过沙箱环境的好方法; 因此,在试图模拟真实用户行为的沙箱环境中引爆恶意软件样本是一种安全的选择。
本文内容由 曲速未来 (WarpFuture.com) 安全咨询公司整理编译,转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。
曲速未来 提醒:增加使用Delphi Packer来躲避恶意软件分类相关推荐
- WF曲速未来消息:Cobalt黑客组织在俄罗斯和罗马尼亚测试银行
WF曲速未来表示:根据本月观察到的新的鱼叉式网络钓鱼活动中,Cobalt黑客组织针对俄罗斯和罗马尼亚的银行,其电子邮件包含指向两个不同命令和控制服务器的两个有效负载. Cobalt是一个网络犯罪团伙, ...
- 曲速未来 揭示:Lisk(LSK)有什么价值?
区块链安全咨询公司 曲速未来 消息:Lisk(LSK)引起了很多关注,因为它是一种基于侧链的加密货币. 为了解释,Lisk的区块链生态系统让任何人都可以轻松访问侧链.侧链是一种加密程度较低的数字快捷方 ...
- 曲速未来 披露:对加密货币交换gate.io供应链攻击
区块链安全咨询公司 曲速未来 消息:11月3日,攻击者成功攻击了领先的网络分析平台StatCounter.许多网站管理员都使用此服务来收集访问者的统计信息 - 这项服务与Google Analytic ...
- 曲速未来|区块链可扩展性:第一层解决方案是否保持密钥?
区块链安全咨询公司 曲速未来 表示:目前,加密货币无法在任何有意义的意义上扩展.区块链技术的可扩展性 - 包括总交易量和参与处理它们的独立参与者的数量 - 是主流采用的关键障碍.在针对安全和权力下放挑 ...
- 曲速未来 消息:警惕 Locky Poser,PyLocky Ransomware
区块链安全咨询公司 曲速未来 表示:虽然勒索软件在今天的威胁形势中明显受到限制,但它仍然是网络犯罪的主要内容.事实上,它在2018年上半年的活动略有增加,通过微调以逃避安全解决方案保持同步,模仿已建立 ...
- 曲速未来 发布:新基建下,区块链将急速发展
区块链安全咨询公司 曲速未来 表示:作为一种底层与后端技术,区块链自诞生起,就与基础设施这个概念紧密关联.区别于人工智能以训练.推理为主要环节的技术体系,区块链以P2P对等网络为基础.以密码学技术起家 ...
- 曲速未来 揭秘:以太坊区块链和ERC20代币的技术挑战
区块链安全咨询公司 曲速未来 消息:在2018年,可以看到以太坊区块链的能力的许多进步.这些创新是由遍及庞大且不断发展的生态系统的以太坊和ERC20令牌项目推动的. 这些创新对于以太坊作为新标记的顶级 ...
- 曲速未来:区块链用于房地产是否会起作用
区块链安全咨询公司 曲速未来 表示:有很多关于区块链,比特币和相关技术的文章,对于许多房地产专业人士来说,这是一个勇敢,新的,令人困惑的技术世界的一部分.与原始互联网一样,区块链是一项技术革命,将触及 ...
- 曲速未来 披露:由macOS NFS客户端中的缓冲区溢出引起的内核RCE
区块链安全咨询公司 曲速未来 消息:有安全人员在Apple的macOS操作系统内核中发现的几个堆栈和堆缓冲区溢出.Apple将这些漏洞归类为内核中的远程代码执行漏洞,因此它们非常严重.攻击者可能会利用 ...
最新文章
- windows下配置java环境jdk
- HTTP协议中Content-Length的详细解读。
- Python遍历列表时删除元素
- xcode 左侧导航栏 no finder results 问题的解决方法
- 【转】Android开发之数据库SQL
- VError - Found 0 matching services的根源分析
- nowcoder OI 周赛 最后的晚餐(dinner) 解题报告
- linux非权限安装bioperl,Bioperl的简单安装
- 【算法学习】线性时间排序-计数排序、基数排序和桶排序详解与编程实现
- 品《阿里巴巴大数据实践-大数据之路》一书(上)
- 分享一个漂亮WPF界面框架创作过程及其源码
- c语言翁凯中程序,程序设计入门——C语言(翁凯老师)(基础部分)(总结)...
- 人生---新---起点……
- unity透明物体显示问题
- ar机房查看html5,探秘5G“智慧机房”:5G+AR技术实现机房智能巡检
- html控制手机回退键,向日葵手机控制手机全程指导
- 解决Vue3的undefined问题
- 坚持学习100天:象棋网上对弈系统(表示看不懂,有待加油)
- 最终幻想X-2国际版+最终任务
- 没有钱该如何做好新产品的网络营销推广
热门文章
- python随机生成正态分布函数_使用python实现正态分布函数
- linux不支持modprobe命令,Linux中的Modprobe命令
- 模块加载命令modprobe和insmod区别
- 一致性hash和普通hash区别?
- 全面兼容各端的动画库PAG,对标Lottie
- Python之浮点型
- 小红书滑块验证爬虫_雨果:不用写文章,不用拍照片,小红书另类引流涨粉玩法(视频课程)...
- 半正矢公式:根据经度纬度计算两点间距离
- 算法练习 Week2
- python+opencv 实现图像人脸检测及视频中的人脸检测