欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Kronos恶意软件研究(part 1)

来源:本站整理 作者:佚名 时间:2017-09-04 TAG: 我要投稿
上面咱们来看一看歹意软件是若何绕过平安检测的。
进攻技能
歹意软件经由进程屡次检测运转情况来安排进攻。这些反省是异常尺度的,比方搜刮黑名单的进程,模块等。特定的一系列反省从下图中的一个函数挪用开端,并将成果存储在一个变量中:
 

假如检测到调试器或许是VM,则该变量被付与非零值,并且歹意软件会瓦解和中止阐发。
固然歹意软件是一个32位的PE文件,但在32位或64位系统上会有分歧的履行门路,因此歹意软件起首归去探测目标系统的指纹信息并设置一个标记位用来标识目标系统的系统架构:
 

DWORD is_system64_bit()
{
    DWORD flag = 0;
    __asm {
    xor eax, eax
    mov ax, cs
    shr eax, 5
    mov flag, eax
};
    return flag;
}
假如检测到调试器或许是VM,则表现架构的标记位会被重置:
 

这便是为何一旦履行门路参数被设置,样本就会在下一步瓦解的缘故原由。比方,假如样本安排在64位机械上,可以或许应用FS:[0xC0]指定的地点来履行系统挪用。但假如歹意软件在32位盘算机上运转,FS:[0xC0]唆使的值将为NULL,因此假如挪用它将会招致样本瓦解。
 

在检测到VM或许调试器以后,样本不会立刻加入,这在一定程度上加大了阐发职员找出瓦解的缘故原由的难度,这也恰是这类中止阐发办法的高超的地方。
应用原始系统挪用
如前一段所述,Kronos应用原生系统挪用。Syscall基本上意味着容许从用户情势挪用内核实现的一些功效接口。应用法式平日经由进程系统DLL导出的API(可以或许在EvilSocket的博客上找到的详细阐明)来应用它们。由于监督对象可以或许轻松的检测到这些系统DLL导出这些API挪用,因此一些歹意软件在实现上只是偷偷读取DLL中的系统挪用号,并且经由进程它本身的代码来挪用它们,这个技能曾经被Floki bot应用了。
咱们来看看它是若安在Kronos中实现的。起首,它从系统DLL中获得系统挪用号。如前所述,函数经由进程其称号的哈希值来标识(Lexsi申报中有详细的论述)。
 

比方:

B6F6X4A8R5D3A7C6  - > NtQuerySystemInformation
系统挪用号存储在变量中,并应用一个常数做了XOR混杂。下图中的代码片断卖力从DLL中提取原始系统挪用:
 

为了进一步应用它们,对付每个应用过的系统挪用法式,Kronos应用恰当数目的参数来实现本身的包装函数,以下图所示:
 

EAX寄存器包括系统挪用号,在给定的例子中,它代表以下函数:

00000105  - > NtQuerySystemInformation
同样平常情况下,由于与进程注入相干的函数平日会触发警报,因此Kronos应用原始系统挪用来挪用它们,经由进程这类办法挪用的函数以下所示:
NtAllocateVirtualMemory
NtCreateFile
NtCreateSection
NtGetContextThread
NtOpenProcess
NtProtectVirtualMemory
NtQueryInformationProcess
NtQuerySystemInformation
NtResumeThread
NtSetContextThread
NtSetValueKey
它与暗盘中的那篇帖子中提到的“ 木马应用未被检测到的注入办法 ”(起源)内容相婚配。
Rootkit和hooking引擎
Kronos 歹意软件供给的另一个功效是用户级rootkit,它经由进程 hook进程的API使得平安检测对象无奈留意到它的存在。它的hook是经由进程一个特制的shellcode块来实现的,这些块被植入每个可拜访的运转进程当中,详细操纵流程以下所示:起首,Kronos准备要植入的shellcode块,并填写一切必要的数据,其中包括要应用的函数地点和歹意软件装置进程当中产生的必要暗藏的分外数据;而后,它会搜刮正在运转的进程,并尽可以或许地至此谁人注入操纵。风趣的是,explorer.exe和chrome.exe被跳过了:
 

shellcode被安排在受沾染进程的新线程中:
 

上一页  [1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载