欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

恶意软件开发档案解密之根据PDB路径和其他调试细节来推测相关的恶意活动(下)

来源:本站整理 作者:佚名 时间:2019-09-18 TAG: 我要投稿


在上一篇文章中,我们介绍了PDB路径是如何生成的以及其中包含的信息。今天,我们讲接着讨论通过PDB路径展示出的异常和其他恶意行为。
PDB路径展示:异常和其他恶意行为
互联网是一个奇怪的地方,在足够大的范围内,你最终会看到你从未想过你会看到的内容。比如那些偏离常规的事情,那些逃避标准的事情,那些完全无法解释的事情等。我们期望PDB路径以某种方式显示,但是我们遇到过几个没有这样做的示例,而且我们并不总是确定发生的原因。下面的许多示例可能是错误、损坏、混淆或各种形式的故意操作的结果。我们在这里演示它们是为了说明,如果你正在尝试PDB路径解析或检测,你需要了解各种各样的路径,并为各种各样的恶意行为做好准备。以下示例中的每一个都来自确认的恶意软件样本:

恶意操作的进程差异
即使入侵操作被成功执行,其过程也存在许多差异。由于APT36有数百条泄漏的PDB路径,所以在某些活动中执行良好OPSEC的团队可能在会其他活动中执行不好的OPSEC。当PDB路径出现时,PDB路径中出现的关键字、术语和其他字符串项的类型都具有专业性和复杂性。一方面我们看到“njRAT-FUD 0.3”和“1337 h4ckbot”,另一方面我们看到“minidionis”和“msrstd”。
研究人员对基于字符串的检测的常见批评是这样的:
恶意攻击者不像你想的那么脆弱不堪,他们会混淆和逃避签名。
在上面关于PDB路径关键字、术语和异常的表中,我们认为我们已经展示了真实的APT/FIN组、国家支持的攻击者以及最好的攻击者有时确实会出错,这给了我们一个发现的机会。
下面,让我们从一些很高级的威胁恶意软件中挑选一些具体的示例来进行说明。
Equation Group
方程式组织(Equation Group)是一个由卡巴斯基实验室发现的尖端网络犯罪组织,后者将其称为世界上最尖端的网络攻击组织之一,同震网(Stuxnet)和火焰(Flame)病毒的制造者紧密合作且在幕后操作。该组织被怀疑与美国国家安全局(NSA)有联系。此外,在方程式组织使用的恶意软件中,发现了诸如“STRAITACID”和“STRAITSHOOTER”之类的美国国家安全局代号。
2016年,“The Shadow Brokers”(影子经纪人)声称他们入侵了“Equation Group”(方程式组织),并将他们从该黑客组织的计算机系统中所获取到的大部分黑客工具全部泄漏在了互联网上。除此之外,该黑客团伙还表示,他们手中目前仍掌握着大量的机密数据,他们计划在网上举行一次拍卖会,并将这些机密信息出售给竞价最高的竞标者。
一些方程式组示例显示了完整的PDB路径,这表明某些恶意软件是在用于开发的工作站或虚拟机的调试模式下编译的。
c:\users\rmgree5\co\standalonegrok_2.1.1.1\gk_driver\gk_sa_driver\objfre_wnet_amd64\amd64\SaGk.pdb
其他方程组样本具有部分限定的PDB路径,它们表示一些不太明显的内容。这些独立的PDB名称可能反映了更适合的多开发人员环境,在这种环境中,为单个开发人员系统指定完全限定的PDB路径是没有意义的。相反,指示链接器只在构建的可执行文件中编写PDB文件名。尽管如此,这些PDB路径对于他们的恶意软件样本来说是独一无二的:
· tdip.pdb
· volrec.pdb
· msrstd.pdb
Regin
Regin是一款先进的隐形恶意软件,可躲避常规反病毒软件检测。该恶意软件从2008年起,就被黑客用于监视政府、公司和个人。2014年11月24日,赛门铁克在周日发布的一份最新报告称,近日发现了一款名为“Regin”的先进隐形恶意软件,并称该恶意软件从2008年起,就被黑客用于监视政府、公司和个人。
Regin间谍工具使用了多项隐形技术,可躲避常规反病毒软件检测。从Regin的复杂设计来看,开发这一恶意软件需要投入大量时间和资源,间接表明该恶意软件是一个“国家”所开发的产品。但赛门铁克并未指明哪个国家开发了这一恶意软件。赛门铁克同时表示,Regin的设计,使它非常适用于对目标进行长期监视活动。
在目前的恶意软件开发领域,把恶意软件看作是“后门”的想法越来越过时。目前,很多人愿意将恶意软件称为“植入物”。在Regin平台的这个组件中,我们看到了一个命名意识非常超前的开发人员:
C:\dev\k1svn\dsd\Implants\WarriorPride\production2.0\package\E_Wzowski\Release\E_Qwerty.pdb
APT29
APT29之所以被大家熟知,原因就在于人们怀疑它在俄罗斯政府操控下侵入民主党网络系统,,干预了美国的正常选举。它在全球范围内肆无忌惮的入侵行为经常包含一些创造性的、精心设计的、隐秘的恶意软件。APT29是比较擅长隐蔽自己的恶意软件,但是在成千上万的恶意软件中,这些通常训练有素的操作人员还是泄漏了一些PDB路径,比如:
c:\Users\developer\Desktop\unmodified_netimplant\minidionis\minidionis\obj\Debug\minidionis.pdb
C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb
即使最重要的设备中没有使用显眼的关键字,在PDB路径中仍然可能存在一些字符串术语、异常和独特的值,每一个都代表了一个检测的机会。
ConventionEngine规则
我们从所有可执行文件中提取并索引所有PDB路径,这样就可以轻松地搜索和查看检测的数据了。但并不是每个人都能轻松做到这一点,所以我们快速收集了近100条Yara关于PDB路径关键词,术语和异常的规则。我们相信,研究人员和分析人员可以使用这些规则来检测到可能出现的恶意攻击。我们将这个规则集合命名为“ConventionEngine”,但在幕后,这些规则只是乱七八糟的脚本和签名。
你可以把这些看作是“信号”或“发现规则”,它们旨在构建不同大小和保真度的干草堆,供分析人员搜索。具有低信噪比(SNR)的那些规则可以被发送到用于记录或文件对象的上下文化的自动化系统,而具有更高SNR的规则可以被直接发送到分析员以供审查或调查。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载