黑产组织攻击样本的一些对抗技术

原文首发出处：

https://xz.aliyun.com/t/13705

先知社区 作者：熊猫正正

笔者针对某个黑产组织的一批攻击样本进行了详细跟踪分析，从这批攻击样本可以看出黑产组织一直在更新自己的攻击武器，里面使用了多个不同的对抗手法，包含代码混淆、加壳、反虚拟机、反调试等技术。

对比黑产组织之前的攻击样本和最新的攻击样本，如下所示：

最新的攻击样本，导入函数如下所示：

通过动态分析，发现前面的部分代码与此前旧样本的攻击代码基本一致，访问腾讯的ntp服务ntp5.tencent.com的方式进行反调试，同时最新的攻击样本还使用了一些反虚拟机反沙箱的技巧，旧样本的相关代码，如下所示：

然后在内存中解密出shellcode代码，如下所示：

将解密出的shellcode代码注入到进程当中，如下所示：

调用注入的shellcode代码，如下所示：

解密出来第一段shellcode代码，如下所示：

第一段shellcode会加载后面的DLL模块文件，如下所示：

DLL模块文件核心代码，如下所示：

加载执行DLL模块之后，解密出第二段shellcode代码，如下所示：

解密出来第二段shellcode代码，如下所示：

发现该段shellcode代码里面包含HWSyscalls代码，如下所示：

HWSyscalls代码地址:

https://github.com/ShorSec/HWSyscalls，

该shellcode解密出Payload后门，如下所示：

通过分析该Payload为AsyncRAT后门，如下所示：

远程服务器域名地址为：

no2.agentwindows.college、webwhatsapp.cc，如下所示：

配置信息解密代码，如下所示：

样本在虚拟机中运行之后，直接退出了，使用了反虚拟机手段，查壳发现样本使用了ENIGMA(5.X)[-]壳加密，如下所示：

脱壳之后，如下所示：

相关反沙箱代码如下所示：

检测系统内存反虚拟机，如下所示：

遍历Temp目录下的文件数反虚拟机，如下所示：

通过时间间隔来反虚拟机，如下所示：

在内存中解密出来Payload，如下所示：

调用该Payload模块的Load函数，如下所示：

Load导出函数，如下所示：

创建相关的恶意文件存放目录，如下所示：

从黑客服务器URL:

http://67.211.72.49/Multifile.zip下载恶意文件压缩包，如下所示：

通过密码:

M2SYVcMwVsYU2arfmXchl226fzHU4d4M解密压缩包文件，然后再读取解密压缩包的文件内容，如下所示：

解压后的文件，如下所示：

安全对抗会一直持续存在，有攻必有防，攻与防就是矛与盾的关系，安全研究人员需要持续不断的提升自己的安全能力。

笔者一直从事与恶意软件威胁情报相关的安全分析与研究工作，包含各种各样的不同类型的恶意软件，通过深度分析和研究这些恶意软件，了解全球黑客组织最新的攻击技术以及攻击趋势。