防护方案:加密木马攻击,海莲花?
高级长期威胁APT安全防护实践
下载者后门
被下载的是一个Download模块,该模块 动态获取API随后判断进行中是否存在杀软, 存在即立即退出不执行恶意操作,不存在杀软 则判断当前进程是否有管理员权限,有管理员 权限则使用服务对后门程序进行持久化,没有 管理员权限则使用注册表对后门程序实现驻留。
下载者后门
当完成初始化的操作后,会尝试连接远程 服务器地址,下载被加密的数据,使用RC4 算法对数据进行解密,解密完成后创建该后门 进程。
高级长期威胁APT安全防护实践
现代“碟中谍”——多国APT组织的杀戮之路
目录
0 序言 1 APT-32/海莲花 黑客组织 2 TA505 黑客组织 3 蓝宝菇/APT-C-12 黑客组织
PART 00
PART 00
序言
序言
什么是APT
高级长期威胁(简称:APT),又称高级持续性威 胁、先进持续性威胁等,是指隐匿而持久的电脑入 侵过程,通常由某些人员精心策划,针对特定的目 标。其通常是出于商业或政治动机,针对特定组织 或国家,并要求在长时间内保持高隐蔽性。高级长 期威胁包含三个要素:高级、长期、威胁。高级强 调的是使用复杂精密的恶意软件及技术以利用系统 中的漏洞。长期暗指某个外部力量会持续监控特定 目标,并从其获取数据。威胁则指人为参与策划的 攻击。
模板注入文档攻击
在该段ShellCode的ecx+0xfc8处存放着 命令行参数以及一个PE文件。
ShellCode首先会将该参数以及PE文件 的地址传入SUB_512018函数中,而该函数 的功能是在内存中加载传入地址中的PE文件, 并将命令行参数传递过去,PE文件根据接收 到的命令去执行相关的代码。
模板注入文档攻击
被劫持的模块是用来播放声音的, 随后将文件从Word正文中取出来, 经过Base64解码,释放到 %appdata% \main_background.png目录下。
常见的网络攻击手段及防范措施
常见的网络攻击手段及防范措施网络攻击是指对网络系统和网络设备进行非法侵入、破坏和破坏的行为。
随着网络技术的飞速发展,网络攻击手段也在不断升级。
网络攻击不仅给个人和组织带来了经济损失,更严重的是可能导致信息泄露和系统崩溃,给社会的安全和稳定带来威胁。
因此,对于网络攻击手段,我们必须高度重视并采取相应的防范措施。
常见的网络攻击手段包括:病毒木马攻击、DDoS攻击、SQL注入攻击、社会工程学攻击等,下面分别对这些网络攻击手段及相应的防范措施进行详细介绍。
1.病毒木马攻击病毒和木马是最常见的网络攻击手段之一。
病毒是一种能够自我复制并传播的程序,而木马是一种能够在未经用户许可的情况下远程控制计算机的程序。
病毒和木马可以通过各种途径传播,如通过电子邮件、网络文件共享、移动存储器等。
一旦计算机感染了病毒或木马,可能导致系统崩溃、数据泄露、网络资源被非法占用等问题。
防范措施:(1)安装杀毒软件:定期更新并全面扫描计算机系统,确保病毒数据库处于最新状态。
(2)不打开未知邮件附件:避免随意打开未知来源的邮件附件,减少感染病毒的可能性。
(3)远离不明来源的网站和软件:不轻易下载和安装不明来源的软件,避免访问不安全的网站。
2. DDoS攻击DDoS攻击(分布式拒绝服务攻击)是一种通过大量虚假请求占用目标服务器资源的攻击手段,从而导致正常用户无法获取服务。
DDoS 攻击可以通过控制大量僵尸网络来发起,给目标服务器造成严重的负担,导致服务器瘫痪甚至崩溃。
防范措施:(1)采用DDoS防护设备:使用专业的DDoS防护设备,能够在攻击发生时及时识别并过滤掉恶意流量。
(2)增加带宽和硬件设备:增加服务器的带宽和硬件设备,提高服务器的抗攻击能力。
3. SQL注入攻击SQL注入攻击是一种利用Web应用程序对数据库进行非法操作的攻击手段。
攻击者通过在输入框中输入恶意的SQL语句,利用程序错误或漏洞获取敏感数据或控制数据库。
防范措施:(1)输入验证和过滤:对用户输入的数据进行严格的验证和过滤,确保输入的数据符合规范。
全国网络安全答题答案
全国网络安全答题答案网络安全是一项重要的工作,对于确保网络的安全和稳定起着至关重要的作用。
以下是我整理的全国网络安全答题答案:1. 什么是网络安全?网络安全指的是保护计算机网络和互联网免受未授权访问、攻击、破坏、滥用、偷窃等威胁的一系列措施和技术手段。
2. 什么是黑客?黑客指的是对计算机技术有深入了解并具有攻击性的个人或组织,他们可以通过违法手段侵入计算机系统,窃取、篡改或破坏数据。
3. 如何保护个人隐私?保护个人隐私的方法包括:不轻易泄露个人信息、使用强密码并定期更换、不随便点击不可信链接和下载附件、定期更新操作系统和应用程序的补丁、使用安全的网络连接等。
4. 什么是防火墙?防火墙是指一种网络安全设备或应用程序,用于监视和控制网络流量,防止未经授权的访问和恶意攻击进入网络。
5. 什么是病毒?病毒是一种恶意软件,通过在计算机系统中复制和传播来破坏或损坏数据或软件。
它可以通过电子邮件、下载文件或访问被感染的网站等方式传播。
6. 如何预防计算机中病毒的感染?预防计算机中病毒感染的方法包括:定期更新操作系统和应用程序的补丁、使用杀毒软件和防火墙、不点击或下载不可信的链接和附件、不随便安装来路不明的软件等。
7. 什么是钓鱼网站?钓鱼网站是指冒充合法网站的虚假网站,目的是获取用户的个人信息、密码和银行账户等敏感信息。
8. 如何识别钓鱼网站?识别钓鱼网站的方法包括:检查网站的URL是否正确拼写、查看网站是否有安全标识(如https://)、警惕来路不明的链接和文件等。
9. 什么是DDoS攻击?DDoS攻击指的是分布式拒绝服务攻击,它通过大量的请求向目标服务器发送流量,导致服务器过载而无法正常工作。
10. 如何防御DDoS攻击?防御DDoS攻击的方法包括:使用防火墙和入侵检测系统、增强网络带宽和服务器性能、使用DDoS防御服务、限制特定IP的访问等。
这些答案可以作为全国网络安全答题的参考,帮助人们更好地了解网络安全知识并提高自身的网络安全意识和防护能力。
常用攻击方法与防范措施诠释
常用攻击方法与防范措施诠释常用攻击方法与防范措施是指网络攻击者常用的攻击手段以及企业、个人可以采取的防范措施。
1. 钓鱼攻击:攻击者通过伪造电子邮件、短信等方式,以冒充合法机构或人员的名义,欺骗用户提供敏感信息或点击恶意链接。
防范措施包括提高用户的安全意识,不随意点击邮件或链接,警惕异常请求。
2. 勒索软件攻击:攻击者通过恶意软件侵入目标系统,加密用户文件并勒索赎金,威胁用户数据安全。
防范措施包括安装防病毒软件、定期备份数据、不下载可疑文件、及时更新系统补丁。
3. DDoS攻击:攻击者通过大量的合法或非法请求,使目标服务器资源耗尽,导致网络瘫痪。
防范措施包括使用防火墙、入侵检测系统、流量清洗等技术手段来过滤恶意流量。
4. 暴力破解攻击:攻击者通过尝试大量的用户名和密码组合,来猜解目标系统的登录凭证。
防范措施包括采用强密码策略、启用多因素身份认证、限制登录次数、监控异常登录行为等。
5. SQL注入攻击:攻击者通过在Web应用程序中的输入框中插入恶意SQL代码,来获取或修改数据库中的数据。
防范措施包括使用参数化查询和输入验证技术,避免拼接SQL查询语句,以及及时更新数据库软件补丁。
6. 社交工程攻击:攻击者通过伪装成合法用户或机构的身份,以欺骗方式获取目标信息。
防范措施包括加强对员工的安全培训,提高员工的警惕性,不随意透露敏感信息。
7. 恶意软件攻击:攻击者通过植入病毒、木马、间谍软件等恶意软件,来获取用户的敏感信息或控制目标系统。
防范措施包括安装防病毒软件、定期进行系统维护和更新、不下载可疑文件。
8. 物理攻击:攻击者通过直接攻击计算机设备、服务器、网络设备等物理设备,来破坏系统的安全性。
防范措施包括实施物理安全措施,如安装监控摄像头、控制访问权限等。
总之,针对不同的攻击方式,企业和个人都应加强安全意识,建立多层次的防御机制,包括技术手段的使用和人员培训,以减少遭受攻击的风险。
如何防范病毒或木马的攻击
如何防范病毒或木马的攻击电脑病毒木马的存在形式多种多样,令人防不胜防。
它们会攻击系统数据区,导致系统无法启动,如攻击文件,包括可执行文件和数据文件,干扰键盘、喇叭和显示屏幕,侵占系统内存,攻击硬盘,破坏主板,干扰计算机系统运行,使速度下降,攻击网络,导致个人密码账号、隐私等被盗取。
有效的防范措施有哪些呢?一、安装杀毒软件。
网络上有很多便民且强大杀毒软件是很好的选择。
比如:“火绒安全软件”轻巧高效且免费,占用资源小。
“360 安全卫士”功能强大,具有查杀木马、清理插件、修复漏洞等多种功能。
“卡巴斯基杀毒软件”来自俄罗斯的优秀杀毒软件,能够保护多种设备和系统,实时监控文件、网页、邮件等,有效防御各类恶意程序的攻击。
二、在日常上网过程中,一定要谨慎对待不明链接和邮件附件。
不随意点击来路不明的链接,尤其是那些包含诱惑性语言或承诺的链接,如“免费领取大奖”“限时优惠”等。
对于陌生邮件中的附件,更要保持警惕,即使看起来像是正规文件,也不要轻易打开。
因为这些附件很可能携带病毒或恶意程序,一旦打开,就可能导致电脑中毒,个人信息泄露,甚至造成财产损失。
同时,在社交媒体上也要小心,不随意点击或转发未知来源的链接和信息,保护好自己的账号和个人隐私。
三、定期更新系统:定期检查并更新操作系统、软件和浏览器,确保使用的是最新版本。
这些更新通常包含安全补丁和漏洞修复,能够有效提高系统的安全性,防止黑客利用已知漏洞进行攻击。
四、设置复杂密码:密码应包含数字、字母(大小写)和特殊符号,长度至少 12 位,且无规律排列。
避免使用常见的字符串,如生日、电话号码等。
同时,不同的重要账户应设置不同的密码,并定期更换密码,以增加密码的安全性。
五、下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒。
六、使用网络通信工具时不随意接收陌生人的文件,若已接收可通过取消“隐藏已知文件类型扩展名”的功能来查看文件类型;七、对公共磁盘空间加强权限管理,定期查杀病毒;八、打开移动存储前先用杀毒软件进行检查,可在移动存储器中建立名为autorun.inf的文件夹(可防U盘病毒启动);九、需要从互联网等公共网络上下载资料转入内网计算机时,用刻录光盘的方式实现转存;十、定期备份重要文件,以便遭到病毒严重破坏后能迅速修复。
网络安全竞赛答案2021
网络安全竞赛答案2021网络安全竞赛答案网络安全竞赛是一项旨在展示个人或团队在网络安全领域知识、技能和实践能力的比赛。
在竞赛中,选手将面临各种模拟的网络攻击和威胁,并需要通过分析、识别、应对和解决问题来保护系统和网络的安全。
以下是一些网络安全竞赛中常见的题目和答案,供参考:1. 请列举并解释几种常见的网络攻击方式。
答:常见的网络攻击方式包括:- DDoS(分布式拒绝服务)攻击:通过使用多台计算机向目标服务器发起大量的请求,造成服务器过载无法正常提供服务。
- Phishing(钓鱼)攻击:通过伪造合法网站或电子邮件来欺骗用户输入敏感信息,如密码、账号等。
- 僵尸网络攻击:攻击者通过感染大量的计算机,将其控制起来形成一个“僵尸网络”,并对其他系统进行攻击。
- 恶意软件:包括病毒、木马、蠕虫等恶意程序,通过感染计算机控制或窃取信息。
2. 请简述如何防范网络攻击。
答:防范网络攻击的方法包括:- 更新和安装安全补丁:及时更新操作系统和软件的安全补丁,修复已知漏洞。
- 使用强密码和多因素身份验证:使用包含大小写字母、数字和特殊字符的复杂密码,并启用多因素身份验证。
- 安装防火墙和安全软件:配置和使用防火墙保护网络,安装杀毒软件、防火墙、入侵检测系统等来检测和阻止恶意程序。
- 进行定期的备份和恢复:定期备份重要数据,并测试和验证恢复过程。
- 加强员工教育和意识:加强员工对网络安全的教育和意识,避免点击可疑链接、下载未知文件等。
3. 请描述一种网络入侵检测系统(IDS)的工作原理。
答:网络入侵检测系统(IDS)是指用于监控和检测网络中的恶意活动和攻击的系统。
其工作原理包括以下几个步骤:- 抓取网络流量:IDS通过监听网络流量,捕获和记录所有经过的数据包。
- 分析数据包:IDS对捕获到的数据包进行分析,包括检查数据包的协议、源地址、目标地址等信息。
- 比对已知攻击签名:IDS将数据包与已知的攻击签名进行比对,如果匹配则说明存在攻击行为。
全国网络安全答题答案
全国网络安全答题答案全国网络安全答题答案700字1. 什么是网络安全?网络安全是指在网络空间中保护计算机网络系统、网络服务、网络连接、网络用户和网络信息等不受未经授权的使用、遭受破坏、篡改、泄露、伪造和拒绝服务等威胁的技术和管理措施的总称。
2. 什么是网络攻击?网络攻击是指通过未经授权的行为,利用网络通信设备和网络安全系统中的漏洞或弱点,针对网络应用、操作系统、服务或网络基础架构等进行攻击的行为。
3. 常见的网络攻击手段有哪些?常见的网络攻击手段包括:病毒攻击、木马攻击、钓鱼攻击、拒绝服务攻击、网络蠕虫攻击、网络针对性攻击等。
4. 如何保护个人隐私?保护个人隐私的方法包括:使用强密码、定期更换密码、不随意透露个人身份信息、不在不可信的网站填写个人信息、不随意在公共场所使用网络、定期清理浏览器缓存和 Cookie 等。
5. 什么是网络钓鱼?网络钓鱼是指通过伪装成合法的机构、公司或个人的方式,通过网络发送虚假的电子邮件、信息或网站,来获取用户的个人身份信息、密码、银行账户等敏感信息。
6. 如何防范网络钓鱼?防范网络钓鱼的方法包括:不随意点击来自不可信来源的链接、不随意下载陌生发件人发送的邮件附件、不随意在假冒的网站上填写个人信息、警惕来自熟悉人士的可疑请求等。
7. 什么是网络病毒?网络病毒是指能够在计算机网络中自我繁殖、传播和对系统带来破坏的一类恶意程序。
8. 如何防范网络病毒?防范网络病毒的方法包括:安装可靠的杀毒软件、定期更新操作系统和杀毒软件的补丁、不随意下载和安装不明来源的软件、不点击来历不明的链接、定期备份重要数据等。
9. 如何防范网络拒绝服务攻击?防范网络拒绝服务攻击的方法包括:使用防火墙和入侵检测系统、限制网络带宽、封锁黑客 IP 地址、增加硬件设备的处理能力、使用负载均衡等。
10. 什么是信息泄露?信息泄露是指未经授权地使信息暴露在无关人员或组织中的行为。
11. 如何防范信息泄露?防范信息泄露的方法包括:设置访问权限、加密重要信息、定期更新敏感数据存储位置、定期监控信息的访问记录、对员工进行网络安全教育等。
如何避免黑客攻击的10个方法
如何避免黑客攻击的10个方法在网络时代,黑客攻击已经成为了互联网上的一种常见现象。
每年有数百万的组织和个人受到网络攻击的影响,导致重大的信息泄露、财产损失和声誉破坏。
为了避免这样的情况发生,本文将介绍10种避免黑客攻击的方法。
1. 定期更新操作系统和软件定期更新操作系统和软件是避免黑客攻击的最基本的方法。
更新包括安全补丁和功能更新。
黑客通常利用软件中漏洞对计算机系统进行攻击,更新软件则可以及时修复软件中的漏洞。
2. 安装防病毒软件和防火墙安装防病毒软件和防火墙可以有效地保护计算机免受恶意软件和黑客的攻击。
防病毒软件可以扫描和清除病毒,防火墙可以监控进出网络的数据流量,从而过滤掉不安全的数据。
3. 使用强密码使用强密码是避免黑客攻击的重要手段之一。
强密码应该包括大小写字母、数字和符号,并且要尽量长。
使用密码管理器可以帮助生成安全的密码,并确保密码唯一。
4. 限制访问权限将访问权限限制在必要的人员之内可以有效地保护系统免受黑客攻击。
管理员应该审查每个用户的访问权限,并定期检查是否有未经授权的访问。
5. 使用双因素认证双因素认证是指需要用户提供两个或多个身份验证要素来访问系统。
这种方法可以增加安全性,防止黑客通过猜测密码来访问系统。
6. 定期备份数据定期备份数据是保护数据不受黑客攻击的重要手段之一。
无论黑客如何攻击,备份数据可以帮助恢复破坏的数据。
备份最好保存在离线设备中,以防备份被黑客攻击。
7. 避免打开未知的邮件附件黑客经常通过发送包含恶意软件的邮件附件来攻击目标系统。
因此,避免打开未知的邮件附件是保护系统的重要手段之一。
如果必须打开,最好先将其上传到在线病毒扫描器进行扫描。
8. 妥善管理移动设备移动设备成为黑客攻击的新目标。
因此,妥善管理移动设备可以有效地避免黑客攻击。
具体措施包括加密设备数据、不使用公共WiFi、启用远程擦除、限制数据访问权限等。
9. 建立紧急响应计划建立紧急响应计划可以在黑客攻击发生后迅速采取行动,减少损失。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深度分析及防护加密木马攻击,海莲花?Content攻击:是谁?3海莲花3样本分析4攻击:是木马还是APT32木马特性32 APT特性32要关注的事情34防护:思路转换34怎么理解35怎么做37防护:NGTP方案38完整部署39简化部署39产品部署41终端防护42威胁情报42关于绿盟科技43内容导读随着匿名者攻击事件的跟踪分析走向深入,5月28日,又一系列针对中国的攻击行为浮出水面。
这个被大家称为“海莲花”组织所实施的攻击,其攻击特性是怎样的,到底是单纯的木马,还是APT?随之而来的攻防思路会发生怎样的转变?用户又该如何应对?本报告从此次攻击事件中截获的典型木马样本入手,分析其攻击行为,对比木马及APT的特性,为用户思考下一步的应对方案,给出了转变思路的攻防模型,提出未来攻防战中胜负判断标准及发展方向,并推荐了应对此次攻击的解决方案及实施步骤。
在看完本报告后,如果您有不同的见解,或者需要了解更多信息,请联系:•绿盟科技威胁响应中心微博•/threatresponse•绿盟科技微博•/nsfocus•绿盟科技微信号•搜索公众号绿盟科技攻击:是谁?绿盟科技威胁响应中心一直在持续关注网络攻击事件并进行跟踪分析,这些攻击事件中有来自国内的,也有来自国外,如同现实社会中的恐怖主义一样,有些事件会有组织公开承认,比如匿名者(Anonymous),但也有一些事件是没有组织对其负责的,这些事件绿盟科技的专家会用相关的模型进行分类研究,其中的一个参考指标就是其攻击行为及惯用的攻击形式。
海莲花2015年5月28日,一系列针对中国海事机构的攻击行为浮出水面,业界有传攻击事件涉及30多个国家,事后未有组织声称对这些攻击事件负责,但其中可以看到的是,相关海事机构的攻击大多数来自木马。
如果说这些攻击是来自某个黑客组织,那么这个组织无疑是比较低调的,低调到没看到其公开的命名。
可能是由于这些攻击目标常涉及中国的海事及相关机构,某公司将其命名为“海莲花”,但考虑到这些攻击的一些特性,1多采用木马,2多针对海事机构,3攻击有一定的数量,4如果存在这个组织,他们很低调,那可能使用海马(Seahorse)称呼他们更为贴切。
样本分析绿盟科技威胁响应中心在日常监测中获取到了该组织的一些木马样本,考虑到国内用户的使用习惯,选择了一个具有代表性的加密木马(Encrypting Trojan horse)进行分析,通过分析可以看到其完整的执行过程。
样本通常是一个可执行文件,可能其图标类似word.exe程序,执行后会生成两个比较的关键的文件qq.exe以及Bundle.rdb文件。
随后向IP地址193.169.244.73发起连接通过追踪对应的IP地址,发现其所在区域及绑定域名来自乌克兰,目前域名页面获取已经失效,但不排除有相关的反追踪技术手段。
而从过去的持续跟踪情况来看,美国和乌克兰的域名较多。
样本整个完整的执行过程如下:1 点击之后样本会释放出形如XXXX.tmp的文件并运行;下面我们将其中的一些追踪的技术细节呈现出来,通过这些细节呈现,有利于后续对该木马进行查杀和防护,以及为整体分析攻击组织的行为提供信息及数据支撑。
木马样本入口分析样本信息从截获的样本来看,该样本伪装为word文档,引诱用户去点击,而传播途径也主要通过邮件传输,U 盘拷贝等形式传播。
先检查该样本有没有加壳。
也就是说该样本并没有采用传统的加壳技术来躲避查毒软件的查杀,而是采用了其他加密的方式来绕过扫描。
查找木马程序入口上图是IDA反汇编后,截取的winmain函数的主要部分,从图中大体可以看出该样本运行时会检测命令参数开始部分是否含有”--ping”字符串。
如果有该参数会直接进入SUB_40CF20函数中运行;如果没有该参数,之后会创建临时文件,并通过CreateProcessW函数以新进程的方式启动该临时文件(也就是子体)。
接下来我们分析两个方面:•关注该木马(母体)创建的是什么临时文件(子体),子体的启动参数是什么(图中给出的commandline),•如果母体没有参数“--ping”情况,在sub_40cf20函数里面做什么动作母体执行过程分析母体入口分析到这里,我们只知道该样本要带有”--ping”,但是还不知道到底有什么参数;那么能做的就是直接在虚拟机中启动它,不需带有任何参数,根据我们的静态分析可知,这种情况下会先生成一个子体,然后通过CreateProcessW来启动该子体.启动windbg,虽然知道了母体里面有winmain函数,但是在没有符号文件的情况下windbg还不能识别出winmain入口函数,所以在windbg加载母体后,需要找到一个断点来动态调试winmain函数。
通过IDA反汇编知道,在winmain函数里面先是调用了一个API函数GetComputerNameA。
在运行G命令号会断在此处,如下图所示查看该函数的参数用GU命令该函数运行完成后,可以看到该函数已经取得了主机名,如下图:对于虚拟机系统:接下来会将大写字母变成变成小写,如下图转换后的结果:之后会通过CoInitialize函数告诉Windows以单线程的方式创建com对象,CoInitialize并不装载COM 库,它只用来初始化当前线程,让线程注册一个套件,而线程运行过程中必然在此套件。
如下图:母体如何产生子体下面的动作就是要判断它启动时是否带有参数,如果没有参数就会在临时文件夹建立一个文件显示获取当前用户的临时目录,之后会在该目录下产生一个随机文件名。
在创建了临时文件后,接着就会先得到母体文件,同时产生一个随机字符串,该随机字符串会作为将来子体启动时参数部分,之后将释放产生的子体(前面只是产生临时文件还没有写入数据,就是要写入数据,写入的大部分内容还是母体的数据),同时在构造出CreateProcessW函数启动子体程序时的参数部分。
入下图子体躲避杀毒软件当产生新的文件时,杀毒软件通常都有有所觉察,为了能躲避传统杀毒软件的查杀,在生成子体时,利用了加密技术对子体做了块加密。
下面是函数SUB_40AFF0产生随机字符串的主要过程,由下图可知,在复制母体过程中对母体本身先做了处理,函数SUB_40CEA0调用SUB_40CB30,该函数在复制写入之前对母体做的处理,调用过程和处理过程如下图:接下来就是要创建一个子进程(子体),同时检查启动的该子体和参数从上图可知createprocessw第一个参数是”c:\Users\home\AppData\Local\Temp\DBE3.tmp”,第二个参数是”"C:\Users\home\AppData\Local\Temp\DBE3.tmp" --pingC:\ocean\test.exe98A92D9A03B32BBB789802827DD0F5FB245F07A28BE4E9251E55C06A43DAA994A0852C6623D4F EB93139B4A028463B7BF27F727372E5813871AFD7D01AB44430”也就是子体名字叫DBE3.tmp(在多次调试过程中,每次产生的临时文件都不一样),产生的随机字符串实在太长了。
子体执行过程分析子体入口到目前为止,母体的启动过程基本上分析完成了,我们在开始说到如果有—ping参数及其他部分,会进入SUB_40CF20函数。
如下图由于我们并不知道母体参数ping后面具体接什么内容,所以不与分析。
其实不用单独分析else后面的内容,因为我们知道了子体主要复制了母体的程序,并添加了子体启动时的参数,通过createprocessW函数启动子体时,子体会直接进入else里面,因为现在已经有”--ping”参数了。
所以我们分析子体就会分析到该分支。
子体分析,在上面已经知道了子体时由母体复制而来,并且在子体启动时已经有了参数,根据winmain 函数的代码流程可知,子体会进入子体入口动态跟踪接下来就是要看函数SUB_40CF20里面做了哪些操作。
以上面得到的子图DBE3.tmp为例,在windbg调试带参数的子体可以像如下设置为了能够动态调试子函数sub_40CF20,需要在该函数出下断点,但是由于该函数不是标准的API函数,所以也没有符号表,这样很难找到该函数的入口地址。
对此我们通过观察IDA今天反汇编代码,可知sub_40CF20在CoInitialize和memicmp函数之后会被调用,所以我们可以在标准API _memicmp或是它之前的CoInitialize函数下断点,然后动态跟进sub_40CF20函数即可。
本例在CoInitialize下断点函数断下来后单步跟踪,跟进IDA静态分析_memicmp比较有没有”--ping”,如果有的话就会执行到sub_40CF20函数,由于子体里面包含了该参数,也就能直接进入else里面,查看伪C和反汇编代码单步动态跟踪windbg,进入JZ loc_40D6EE进入else里面首先sleep(0x7d0),只有调用sub_40CF20,并将子体参数作为该该函数的参数传进去,跟进该函数该函数内部做的操作:验证子体参数中是否包含”\t”,也就是说在启动子体时,此处参数之间的分割不能是空格,必须是”\t”,生成test.exe生成test.docx文档子体释放docx文档过程上面说到sub_40BBA0函数成了docx文档,那么是怎么生成的,其调用过程如下图也就是说最终调用了函数sub_40B9A0函数,那就看看该函数的主要流程:上图是截图该还函数的主要代码,从代码中可知该函数利用test.exe,生成了test.docx文档,并打开了该文档,这就是为什么如果我们加参数直接打开DBE3.tmp文件时,生成的test.docx能够自动打开的原因。
子体的反调试技术为了能够避开虚拟机检测或是在虚拟机中调试,子体中加入动态反调试技术,判断是否有虚拟机函数调用关系如上图所示,在函数里面做了虚拟机的判断从代码中看出,该子体会判断自己是否在虚拟机中;进一步跟踪sub_407260看看判断vmware里面是怎么操作的:Vmware为真主机与虚拟机之间提供了相互沟通的通讯机制,它使用“IN”指令来读取特定端口的数据以进行两机通讯,但由于IN指令属于特权指令,在处于保护模式下的真机上执行此指令时,除非权限允许,否则将会触发类型为“EXCEPTION_PRIV_INSTRUCTION”的异常,而在虚拟机中并不会发生异常,在指定功能号0A(获取VMware版本)的情况下,它会在EBX中返回其版本号“VMXH”。
躲避虚拟机检测机制经过上面的分析,我们知道了在虚拟中运行会直接退出,因为函数sub_40B840执行完成后返回后,返回了1;同时函数sub_40B930也就返回了1;这样子体就会终止了运行,如下图但为了在虚拟机中分析子体,技术人员利用动态调试技术,修改代码流程,在sub_40B930返回后,修改返回值让其继续运行,如下图所示这样程序就能进入if语句里面继续运行。