Solarmarker挖坟老病毒技术

逆向病毒分析 3年前 (2022) admin
714 0 0

Solarmarker是去年出现的病毒家族,通过恶意文件老套路的传播技术SEO Poisoning(搜索引擎优化中毒)传播,据外媒披露,Solarmarker利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档用于传播自身,执行RAT功能。

Solarmarker挖坟老病毒技术

图1 Solarmarker病毒文件图标

本文所获取到的样本图标均为PDF文件图标,Solarmarker恶意文件自身捆绑了合法的具备合并PDF文件的pdfmerge应用程序,用于迷惑被感染用户

Solarmarker挖坟老病毒技术

图2 被捆绑的正常应用程序


笔者获取到的Solarmarker挖坟了曾经2011年左右对抗云查杀的压缩炸弹技术,并使用了合法的数字证书,使得VT上检测率极差,如果编译时间为真实的,那么病毒作者为此可能已经蓄谋了七个月之久,那么可以理解使用压缩炸弹主要目的是为了保护其数字证书不被安全厂商截获而被吊销。

Solarmarker挖坟老病毒技术

图3 Solarmarker解压前后的大小对比


Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图4 Solarmarker编译时间与合法数字签名信息


Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图5 Solarmarker在VT上的检测率


据相关恶意样本共享平台数据进行分析,倒推Solarmarker上传时间在2021年11月15日开始使用压缩炸弹技术对其利用的合法数字证书进行保护。截至目前,依然有两枚被恶意利用的数字证书未被吊销,其中一枚在2021年8月份就已经被颁发,可见合法数字证书的被陆续恶意利用的十年一直限制了主流安全软件检测能力的想象。

Solarmarker挖坟老病毒技术

图6 最早应用压缩炸弹技术的Solarmarker样本


Solarmarker挖坟老病毒技术

图7 陆续获取到的其他使用了压缩炸弹技术的Solarmarker样本

再此表扬一下当年微点小黑屋老曹同志在2011年编写的大病毒专杀工具对此依旧管用Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图8 早年微点专杀工具可检测与清除相关病毒


Solarmarker挖坟老病毒技术

图9 早年大病毒的相关行为


未知威胁检测引擎针对相关压缩炸弹的检测规则名称为Malware.MSIL.X-Threat.e,将在本月版本规则内更新。

Solarmarker挖坟老病毒技术

图10 未知威胁检测引擎针对相关逻辑的检测名称




IOCs


专杀工具下载链接:http://localdown.micropoint.com.cn/avtools/A00000018/BigVirKiller.zip


样本md5:

0fa1be2db15ef78a9e01b21589204615

c7f29f78cee87f7cba5821e10e1bf5b8

fed94e322ab7d95e631bdbda6be36718

8a0c80350f1e41cfda8770b15d6a7f99 

7194384ed0ce511e24b0e119d0d068f6

fa96f5ddcf66db5c3807d58631f21d61

d4040f90605244c384a5715bc28262ac

c7f29f78cee87f7cba5821e10e1bf5b8

153883daf4c43e0a5d57bddd247cd14f

d4040f90605244c384a5715bc28262ac

9f1f691b5e2da2e85b55087637b37964


数字证书md5(部分已经被吊销)

e18e42f9fd9fcbeddd06d8ff364ab47a

bf46f216af21f528181f6de78a61c1a9

3c829e7881bca211c4918d66c3266504

040ffa4ea1a5b56c30a74c628819cfec

f1a0c275f95e7b0c97c7a91355aa241d

496d903d5ffb2ab64a03ee9bcfa4323b

原文始发于微信公众号(锐眼安全实验室):Solarmarker挖坟老病毒技术

版权声明:admin 发表于 2022年4月11日 上午5:27。
转载请注明:Solarmarker挖坟老病毒技术 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...