本次山石情报中心通过智源平台大数据捕获到了疑似与上海某高校安全事件相关的病毒样本,该样本基于.Net平台进行编写,使用多重loader以及多种检测手法规避安全检测。
该程序的核心代码将会以反射加载的方式被调用,其中对于核心代码模块的数据,程序使用了异或算法进行加密,加密伪代码如下:
解密之后可以看到核心代码模块使用SmartAssembly对代码进行的混淆。
IV:1C771ADB1A081DC00E7587D890053D03
KEY:98A7367C6260014E88CA40EBE48E4D5BA713E7F53996FF3DB7AFC9671A19B863
将后续需要使用的数据写入应用程序域属性“jnlCmbqMDCWe”,以供后续执行
规避检测
对进程名称进行检测,排除部分.Net脱壳的软件。
检测到程序存在调试行为,则通过cmd重新启动进程,并退出当前进程。
将自身路径和进程名列入windows defender的排除项,规避windows defender的查杀。
检测到存在异常环境时,通过cmd重新运行程序文件,并退出当前进程。
执行功能
使用模块protobuf-net对数据进行序列化。
获取%TEMP%目录下的临时路径,向该路径写入数据并进行调用。
将自身进程句柄复制到explorer,以达到占用进程文件的效果。
检测环境语言是否存在列表中,如果存在,则退出程序,
持久化
-
Startup启动文件夹
-
注册表项
“SoftwareMicrosoftWindowsCurrentVersionRun”
-
使用以下指令创建计划任务
山石网科智源智能安全运营平台(后称“智源”)在检测到此病毒样本触发的威胁日志后,经过引擎研判后触发对应的威胁事件展示在事件清单模块。
智源内置场景分类,可将涉嫌挖矿的威胁事件集中展示在挖矿专项模块。用户可在挖矿转项模块看到关联上述威胁事件的受害资产,以及网络中不同阶段的挖矿受害资产分布情况。资产维度切入后,可查看具体病毒文件的哈希值,CC域名等关键信息,可快速跳转在线溯源在情报中心进行情报查询,为研判提供情报证据。同时提供资产详情信息,包括资产当前CPU利用率、内存占用比、进程账户等关键信息,用户可以直接下发杀毒任务对资产进行处置。
对资产初步处置后,可对相关IP做攻击/受害溯源,还原IP的攻击轨迹,从攻击受害视角做统一的处置。
323ac3a13a3ab29af25d81be4736727f
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
https://ti.hillstonenet.com.cn/
https://sandbox.hillstonenet.com.cn/
原文始发于微信公众号(山石网科安全技术研究院):疑似与高校关联的远控程序分析
