Txhollower运用Process Doppelgänging绕过检测 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Txhollower运用Process Doppelgänging绕过检测

申博_新闻事件 申博 35次浏览 已收录 0个评论

背景

研究人员在剖析GandCrab讹诈软件历程当中,发明一个风趣的行动:即在进击链中运用了Process Hollowing手艺。但这并不完全是一种Process Hollowing完成,而是一种包含了Process Doppelgänging的夹杂变种。

研究人员将该加载器命名为TxHollower,由于Transactional NTFS API的缩写就是TxF,而Malwarebytes研究人员将这类特定的完成体式格局称之为Transacted Hollowing。

研究人员经由历程剖析猎取的样本发明共有7个差别的版本,有凌驾20种差别的歹意软件家属在运用它。第一个样本就是几个月前的Osiris。本文将剖析加载器的流传历程,以及开发者怎样最大化效力并应对平安产品的检测。

手艺细节

将GandCrab作为payload的样本与Osiris的第一阶段加载器是婚配的。

Txhollower运用Process Doppelgänging绕过检测

图1:第一阶段加载器main函数和GANCRAB加载器的二进制文件差别剖析

除了运用ntdll.dll的section重映照手艺来绕过user-mode hook外,研究人员发明加载器还供应一种驻留机制,个中的功用是能够设置的。

险些一切的可实行文件都是基于MFC库的运用,一些在编译时静态链接,一些担任动态加载。

加载器自身是一个shellcode,在二进制文件中XOR加密。实行时间接通报的,作为来自差别罗列函数的回调,比方EnumResourceTypes, EnumWindowStations, EnumDesktops, EnumWindows。PE section中的payload和设置也是加密的,平常不运用。

Txhollower运用Process Doppelgänging绕过检测

图2: 不常见的PE SECTION NAMES

本来的Process Doppelgänging手艺运用磁盘中现有的可实行文件,该变种手艺在%TEMP%文件夹中建立了一个新的文件。加载器开发者挑选的文件名Liebert.bmp大概是为了绕过依据文件扩展名的终端平安解决方案。

设置

差别版本的设置文件都有所差别,但设置文件的大部份是雷同的。设置文件中有payload的解密密钥,payload的大小,加载器是不是驻留以及用于hollowing的可实行文件名和id。

Txhollower运用Process Doppelgänging绕过检测

图3: HOLLOWING目标可实行文件罗列定义

反剖析手艺

特定的可实行文件与运转的加载器历程有映照关联,目标是找到进口点地点。IDA动态剖析显现,当新的PE模块加载时,当一个模块在差别基地点加载时,一切与之有关的信息都邑从新盘算地点。由于调试的PE是映照到模块,IDA以为它有新的基地点并挪动一切的断点。新映照到模块并没有运转代码,因而调试器没法追踪指令。

版本变动

版本的编号是依据发明的时间或依据二进制文件中的标记的。V5版本的shellcode比v4要小许多,然则依然比之前的版本大。

V1

V1版本的设置文件和payload都绑定在一起嵌入在二进制文件中。经由历程在内存中的PE中搜刮一个特定的硬编码的值就能够找到。设置文件是base64编码的,payload是用对称密钥块加密算法Blowfish和384位密钥紧缩加密的。

经由历程BITS COM对象来复制加载器到用户开始菜单文件夹来完成驻留。svchost.exe和wermgr.exe是Transacted Hollowing运用的硬编码的体系可实行文件,并运用Section Remapping手艺来绕过ntdll.dll的hook。

V2 (OSIRIS LOADER)

loader shellcode中加入了解密操纵。解码的设置文件用硬编码的密钥部份加密。V2版本中还引入了新的平安产品绕过手艺。Shellcode中差别的点中运用了自定义的函数来将加载的模块名哈希操纵,然后与固定值举行比较以肯定加载器的行动:

欧盟宣布5G收集要挟图谱

2019年11月,ENISA发布了题为《Threat Landscape of 5G Networks》的报告,分析了5G网络所存在的安全威胁。报告中描述了5G网络安全威胁图谱和5G网络在安全方面的挑战。加入了创建综合5G架构、识别重要资产(资产图表)、对影响5G的威胁进行评估(威胁图表)、识别资产暴露的程度(威胁-资产映射)、以及威胁源动机的初步评估。 5G网络技术架构 资产 5G中的资产种类包括: · 策略(policy)。 · 管理过程(Management processes)。 · 商业应用(business application)。 · 商业服务(business services)。 · 协议(protocol)。 · 数据网络(data network)。 · 切片(slicing)。 · 

加载器启动前会搜检模块名,并建立一个新的窗口,然后在新线程中启动加载器shellcode。

假如存在UMEngx86.dll (Symantec SONAR),虚拟内存API就会用来实行hollowing,而不是transactions API。

V3

V3版本的payload和设置文件是离开保留的。设置文件只在特定PE的section中,用来标记该位置的值是经由历程PE header域中坚持的值盘算得来的。该版本中没有运用base64编码,设置都运用一种差别的算法来举行加密,用来标记位置的值作为密钥key。

Payload位于特定section中,能够经由历程硬编码的索引来经由历程PE section table直接接见。Transacted Hollowing将硬编码的体系可实行文件从wermgr.exe变成了WerFault.exe,并加入了对须要重定位的payload的支撑。

Payload也能够在运转的加载器历程经由历程反射加载要领实行。该行动能够设置为Transacted Hollowing,然则很少运用。须要申明的是反射加载代码支撑TLS回调,在平常完成中很少碰见。

V4

V4版本中改良了user-mode hook绕过来许可绕过WOW64层的hook,运用Section Remapping和64位的ntdll.dll。函数调用是经由历程修正版本的rewolf-wow64ext完成的。Hook绕过有一点点bug然则是为了防备加载器在32位的机械上运转,由于它运用的是64位的函数。

V5, V6

V5,和V6版本中修复了WOW64 user-mode hook绕过的破绽。

V7

运用通例的Windows API函数来完成驻留。之前的完成作为回调雕作以防在初始化时找不到shell32.dll和kernel32.dll的必须函数。修复了防备支撑32位机械的WOW64 user-mode hook绕过破绽。

时间轴和统计数据

NetWire流传的加载器初期样本是来自于2018年10月3日。研究人员在多个GandCrab版本中都找到了加载器,包含v5和v5.2版本。加载器的最新版本也是最经常使用的,更多参见图4。最常见的payload是SmokeLoader, NetWire和Remcos RAT。

Txhollower运用Process Doppelgänging绕过检测

图4: TXHOLLOWER版本的流传图

进击者挑选加载器本身的二进制文件或第二个硬编码的体系可实行文件作为hollowing的目标。有大批样本运用它来是在受害者机械上设置驻留。

Txhollower运用Process Doppelgänging绕过检测

图5: 一切样本中运用的设置

虽然加载器支撑反射加载,进击者挑选依然运用了Transacted Hollowing,另外,进击者还紧缩了payload。

Txhollower运用Process Doppelgänging绕过检测

图6: v2版本以后的样本中运用的设置

其他联络

研究人员发明了一些样本,剖析后疑心其与TxHollower的下载器和开释器相干。这类文件包含PE可实行文件、JS和文档。文档都是RTF文件看起来包含了宏和一些针对office的破绽应用。平常名字都与发票和收条相干。GandCrab是经由历程破绽应用组件来流传的,SmokeLoader和AZORult都运用过雷同的破绽应用组件,其他歹意软件也直接或间接与CVE-2017-11882相干。

总的来说,大多数来自payload的歹意软件都与破绽应用组件相干。大概TxHollower是其他第三方供应的,或许与其他套件绑定了。

总结

运用process doppelgänging这类手艺的状况在不停增添,这也申明并非一切的平安产品都能检测和防备这类手艺。

本文翻译自:https://blog.ensilo.com/txhollower-process-doppelganging


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Txhollower运用Process Doppelgänging绕过检测
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址