在病毒与安全软件的对抗过程中,“病毒混淆器”一直扮演着重要的角色——为病毒提供外在伪装。实际上,很多病毒的核心特征变化并不大,但依赖不断变化的“病毒混淆器”,就能够轻松产生批量的变形病毒,从而躲避安全软件查杀。
根据长期数据统计显示,依赖“病毒混淆器”不断变形的病毒家族样本在2021年进入高速增长期,虽然出现阶段性下降,但总体依然处于上升趋势。与此同时,Win64病毒样本数量也在大幅上涨,2021年全年相较于2020年,Win64病毒样本数量已增长了5倍,且今年单季度样本增速再创历史新高。如下图所示:
火绒安全实验室发现,随着“病毒混淆器”对抗手段的演变,原有主流病毒家族如:Emotet、Dridex、IcedID等均出现64位新变种。虽然目前64位流行病毒家族所使用的混淆手段与32位相比还较为基础,但已呈现日益完善、愈加复杂的趋势。Win64病毒样本主要混淆手段如下图所示:
由此可见,“病毒混淆器”为安全软件带来的识别查杀挑战依然是严峻的。
火绒安全日前正式进阶了核心技术能力——火绒反病毒引擎“虚拟沙盒”支持64位虚拟环境,即在虚拟沙盒中构建一套类64位Windows操作系统。此后,火绒引擎对64位样本的扫描,可以排除混淆手段干扰,获取到64位病毒核心特征。从而提高产品对未知病毒的检出能力,防御未知威胁。
以Dridex和Emotet病毒的64位样本为例,演示其混淆手段及在火绒“虚拟沙盒”中的运行情况:
(视频内容仅用于展示火绒”虚拟沙盒”中的执行效果,火绒引擎在扫描样本过程中会自动完成虚拟执行流程并完成病毒监测。)
该技术现已全面应用在个人版和企业版产品中,并为合作伙伴终端安全防护能力增添新助力。新老用户可升级版本或至火绒安全官网申请试用。
Emotet病毒主要通过鱼叉邮件方式进行传播,即针对特定用户、组织或企业,“定制化”地进行网络钓鱼攻击。当用户点击运行邮件附件后,病毒就会被激活,并在终端后台盗取各类隐私信息(浏览器记录、电子邮件信息、凭证信息)。此外,Emotet还会传播其他病毒家族,如:TrickBot银行木马和Ryuk勒索病毒。从2022年4月份开始64位变种大量增加,11月初64位再次出现增长现象,64位Emotet病毒样本趋势图,如下图所示:
病毒分析
Emotet通过注册表和服务进行自启动,相关代码,如下图所示:
收集本机信息,并发送给C&C服务器,相关代码,如下图所示:
Emotet主模块接收C&C服务器下发的指令,根据指令执行不同的恶意功能,如:执行任意恶意模块(窃取模块、横向传播模块等恶意模块)。执行C&C服务器下发的指令,相关代码,如下所示:
混淆技术分析
以下对多个不同的64位Emotet变种使用的混淆技术进行分析,64位Emotet变种中所使用的混淆器正在慢慢完善,变得复杂,64位Emotet不同变种的混淆器对比图,如下图所示:
不同变种的64位Emotet所使用的混淆器千变万化,但是行为模式基本相同。不同变种在火绒虚拟行为沙盒中的行为对比,如下图所示:
64位Emotet不同变种,在火绒虚拟行为沙盒中的行为对比
在64位Emotet中,已经开始大量使用控制流平坦化来影响安全人员分析,在火绒虚拟行为沙盒中,也可以看见一些内层的运行细节,如下图所示:
64位Emotet混淆器中使用了一些与虚拟行为沙盒对抗的技巧,如:循环执行无意义代码,让虚拟行为沙盒超时;调用CoLoadLibrary函数动态加载一个系统的exe文件,来检测虚拟行为沙盒环境的真实性,以下进行一一举例:
64位Emotet混淆器中还会加载sc.exe来检测虚拟行为沙盒的真实性,如下图所示:
Dridex是一种臭名昭著的银行木马,出现于2011年左右,至今仍然非常活跃,主要通过收集键盘记录、屏幕截图、剪贴板内容等信息,窃取受害者的隐私信息。从2021年10月份开始Dridex大量出现64位变种,64位Dridex病毒样本趋势图,如下图所示:
病毒分析
通过AtomBombing注入将恶意代码注入进其他进程中来躲避杀毒软件查杀,相关代码,如下图所示:
通过HOOK进程的TranslateMessage函数来记录受害者键盘输入,相关代码,如下图所示:
通过HOOK进程的GetClipboardData函数来获取剪贴板内容,相关代码,如下图所示:
混淆技术分析
与Emotet相比Dridex的外层混淆器更加复杂,将关键代码隐藏在大量混淆代码和无意义循环中进行混淆,为了对抗安全人员分析还会将重要的函数分段导出为多个函数,导致IDA识别出错,给分析人员制造难度,如下图所示:
重要的代码被包围在众多混淆代码中,这些代码还能检测虚拟行为沙盒的真实性,不同变种的外层混淆器进行对比,如下所示:
不同变种在火绒虚拟行为沙盒中的行为对比,如下图所示:
火绒虚拟行为沙盒也可以看见一些内层的运行细节,如下图所示:
近年来较为活跃的新兴银行木马,会收集受害者各种隐私数据如:各种浏览器的登录凭证、Cookie、历史记录,电子邮件的登录凭证等信息,并携带后门功能,可以执行C&C服务器下发的任意Shell命令。从2021年1月开始64位IcedID变种大量出现,在近期又逐渐增多,64位IcedID病毒样本趋势图,如下图所示:
病毒分析
病毒启动后会收集各种系统信息(CPU、网卡、进程等信息)发送给C&C服务器,C&C服务器中会根据收集到的信息进行判断,如果检测到虚拟机或者调试器相关环境信息,则会将该IP地址拉黑不再下发后续模块,收集系统信息相关代码,如下图所示:
将收集到的信息发送给C&C服务器,并接收新的恶意模块,相关代码,如下图所示:
加载C&C服务器下发的恶意模块,相关代码,如下图所示:
恶意模块中,会收集受害者各种隐私信息如:各种浏览器的登录凭证、Cookie、历史记录;电子邮件的登录凭证等信息,并执行C&C服务器下发的任意命令,以下进行举例说明。
获取各种浏览器和电子邮件信息,相关代码,如下图所示:
还会获取各种浏览器的Cookie数据,相关代码,如下图所示:
执行Shell命令来获取系统各种信息如:杀毒软件、网卡、域等信息,相关代码,如下图所示:
上传C&C服务器指定的文件,相关代码,如下图所示:
执行C&C服务器下发的任意的Shell命令,相关代码,如下图所示:
混淆技术分析
IcedID外层混淆器难度较低,只是添加了一些无意义循环,并将代码块拆分成多个块,每个代码块之间利用跳转连接,IDA代码流程图,如下所示:
通过火绒虚拟行为沙盒我们可以看到该样本运行的一些运行细节,如下图所示:
火绒安全成立于2011年,是一家专注、纯粹的安全公司,致力于在终端安全领域为用户提供专业的产品和专注的服务,并持续对外赋能反病毒引擎等相关自主研发技术。多年来,火绒安全产品凭借“专业、干净、轻巧”的特点收获了广大用户的良好口碑。火绒企业版产品更是针对企业内外网脆弱的环节,拓展了企业对于终端管理的范围和方式,提升了产品的兼容性、易用性,最终实现更直观的将威胁可视化、让管理轻便化,充分达到保护企业信息安全的目的。
原文始发于微信公众号(火绒安全实验室):Windows64位病毒量大幅上涨 “病毒混淆器”挑战依然严峻
