幫助眾多惡意軟件逃避檢測:針對一款Delphi加殼器的分析
責編:gltian |2018-09-25 14:25:25概述
為了繞過靜態或動態分析工具,惡意軟件往往會使用加殼或加密的方法,這樣的方法已經被惡意軟件開發者廣泛使用。然而目前,惡意軟件使用多種新型技術,不斷嘗試逃避分類和檢測,而反病毒產品則不斷擴充自己的樣本庫,二者間實際上已經在進行著一場“軍備競賽”。例如,我們發現在地下論壇提供了許多加密服務,他們聲稱所制作的惡意軟件,完全無法被反病毒產品、沙箱或其他終端解決方案檢測到。與此同時,我們還看到安全產品在對正常的用戶行為數據進行建模,并嘗試著將其作為識別惡意軟件特征的一種有效方案。
Delphi加殼
我們所分析的樣本,帶有Delphi的簽名(如下圖所示),與使用IDR(Interactive Delphi Reconstructor)分析時的Delphi代碼構造一致。
借助Delphi編程語言,我們能夠輕松編寫使用Windows API函數的應用程序或項目。實際上,一些惡意軟件編寫者使用默認庫進行偽裝,試圖妨礙靜態分析的轉移過程,并試圖使應用程序在動態分析中“看起來合法”。下圖就是在某論壇中討論這種技術的一篇帖子。
惡意軟件的分發
我們觀察到,目前存在具有多個不同主題的惡意郵件,會分發使用這一加殼器進行加殼的Payload。
其中的一個典型例子是電匯惡意郵件,郵件中會包含一個文檔文件作為其附件(哈希值:71cd5df89e3936bb39790010d6d52a2d)。在該文檔中,包含一個惡意宏,也就是其Payload。惡意郵件的內容如下圖所示。
另一個比較典型的例子,是詢問報價主題的惡意郵件,它以一個包含漏洞利用的文檔作為附件(哈希值:0543e266012d9a3e33a9688a95fce358),該文檔利用公式編輯器存在的漏洞來投放Payload(如下圖所示)。
這一示例中的文檔,會從http[://]5[.]152.203.115/win32[.]exe的位置獲取Payload。經過分析,其Payload實際上是Lokibot惡意軟件。
對用戶活動進行檢查
加殼器需要盡量確保它不是在分析環境中運行。一般來說,計算機用戶在一段時間內就會更改一些應用程序的窗口大小(包括移動位置、縮放等)。因此,該加殼器的第一個變種會首先調用GetForegroundWindow API檢查是否用戶已經更改窗口大小3次以上,如果沒有,則不會執行任何功能。這一部分的代碼如下圖所示。有趣的是,通過這樣簡單的技術,其實就可以防范一部分常用的沙箱。
為了確認用戶的活動,加殼器的第二個變體使用GetCursorPos和Sleep API檢查鼠標光標移動,而第三個變體使用GetLastInputInfo和GetTickCount API檢查系統空閑狀態。
從PE資源中提取實際Payload
原始Payload被拆分成多個二進制Blob,并存儲在資源目錄的各個位置,如下圖所示。
為了定位并組裝實際Payload的字節,加殼器代碼首先直接從資源段內的硬編碼資源ID讀取內容。它的前16個字節形成一個XOR密鑰,用于使用滾動XOR(Rolling XOR)解密其余字節。解密的字節實際上表示內部數據結構,如下圖所示。加殼器使用它,來引用各種資源ID的加密和混淆緩沖區。
然后,加殼器從加密緩沖區中讀取值,從dwStartResourceId開始,直到dwStartResourceId+dwNumberOfResources,同時通過讀取dwChunkSize塊中的內容,將其存儲到一個特定的位置。當最終的數據緩沖區準備完成后,會使用前面提到的滾動XOR算法,以及上述結構中新的密鑰,對其進行解密,從而生成核心Payload可執行文件。這個腳本可用于靜態提取實際的Payload。
惡意軟件真實的家族分類
我們對樣本中的二進制文件進行提取并去殼,最終它們都被識別為Lokibot惡意軟件家族。此外,我們還發現了Pony、IRStealer、Nanocore、Netwire、Remcos和nJRAT惡意軟件系列,以及一些加密貨幣挖掘惡意軟件。使用該加殼器的惡意軟件家族分布如下圖所示。由于惡意軟件的種類比較多樣,所以也就意味著有很多惡意軟件開發人員都在使用這種“加密服務”或“加密工具”,以試圖逃避反病毒機制的檢測。
結論
這些加殼和加密服務,無疑是為惡意軟件開發人員提供了一種簡單方便的選擇。他們可以將保護真正Payload的這部分工作外包出去,并且獲得非常有效的結果。我們所分析的加殼器采用了反分析技術,從而嘗試繞過沙箱。針對于此,如果研究人員能在模擬真實用戶行為的沙箱環境中對惡意軟件進行分析,那么無疑這樣的機制就會變得不再有效。
IoC
853bed3ad5cc4b1471e959bfd0ea7c7c
e3c421d404c08809dd8ee3365552e305
14e5326c5da90cd6619b7fe1bc4a97e1
dc999a1a2c5e796e450c0a6a61950e3f
3ad781934e67a8b84739866b0b55544b
b4f5e691b264103b9c4fb04fa3429f1e