来自 网络 2021-09-27 08:08 的文章

香港高防cdn_香港高防服务器_帽子云服务器_无缝切换

香港高防cdn_香港高防服务器_帽子云服务器_无缝切换

逃避的莫内罗矿工:为了利润而放弃沙箱Alexander Sevtsov和Stefano Ortolani发布2018年6月20日ShareLinkedIn TweetReddit作者:Alexander Sevtsov编辑:Stefano Ortolani介绍加密货币产业正在崛起并不是什么新闻。挖掘加密硬币为任何人提供了一种赚钱的交换计算资源的方式:每当一个矿工猜出一个复杂的数学难题的答案时,他都会获得一枚新铸造的加密硬币。虽然一些加密货币是基于特殊用途设备(如asic上的比特币)有效解决的谜题,但其他一些仍然是在商品硬件上成功挖掘出来的。其中一种是Monero(XMR)加密货币。除了在标准CPU和GPU上高效地挖掘之外,它也是匿名的,或者可以使用精确的Monero术语。这意味着,虽然追踪多个比特币钱包之间的交易很容易,但依靠环签名的复杂系统确保了Monero交易即使不是不可能追踪也很困难,实际上隐藏了交易的起源。正因为如此,Monero加密货币也被用于邪恶的目的,通常是由流氓javascripts或二进制文件下载到一个毫无防备的用户系统上运行,这就不足为奇了。最近的统计数据显示,所有Monero硬币中有5%是由恶意软件挖掘的。当安全行业通过引入新的改进的检测技术来应对这种密码劫持现象时,这些二进制文件的开发人员开始复制勒索软件样本的操作方式:他们开始嵌入反分析技术,以尽可能长时间地逃避检测。在这篇博客文章中,我们在分析XMRig miner的变体时重点介绍了我们的一些发现,并分享了一些用于绕过动态分析系统的规避技巧。滴管示例(sha1:d86c1606094bc9362410a1076e29ac68ae98f972)是一个模糊处理的.Net应用程序,它使用简单的加密程序在运行时使用装配。装载方法。以下XOR密钥用于解密:50 F5 96 DF F0 61 77 42 39 43铁30 81 95 6F AF执行随后通过入口点。调用方法,然后解密另一个二进制资源。图1显示了用于解密二进制文件的加密(AES-256)和密钥派生(PBKDF2)算法。图1。嵌入文件的AES解密例程;注意PBKDF2密钥派生。解密后的数据由另一个可执行文件组成。我们可以在图2中看到它被一些字符串包围,什么是防御ccddos,这些字符串已经提供了包含的一些功能(特别注意CheckSandbox和CheckVM字符串,很可能指示用于检测示例是否在分析环境中运行的例程)。图2。用嵌入的可执行文件解密二进制blob。正如读者所能想象的,我们总是对发现新奇的逃避技巧感兴趣。带着强烈的好奇心,我们决定深入研究代码。有效载荷在剥离所有加密层之后,我们终于到达了未打包的有效负载(参见图3)。正如我们所料,我们发现了很多反分析技术。图3。在VT中找到的未包装有效载荷(sha1:43F84E789710B06B2AB49B4757CAF9D22FD45F8)。最经典的技巧(如图4所示)只是检查已知的反分析过程。例如,processexplorer、processmonitor等都是用来更好地了解哪些进程正在运行、它们是如何产生的以及每个执行线程消耗了多少CPU资源的工具。这是一种非常标准的技术,可以隐藏在此类监视工具中,其他加密矿工也使用过这种技术。正如我们将看到的,其他人有点异国情调。图4。通过GetWindowTextW检测已知的进程监视工具。规避技术-缺乏用户输入这种技术专门针对动态分析系统。它通过测量操作系统接收到的输入量来检测它是否在真正的主机上执行。诚然,这种情况并不罕见,代码防御ddos攻击,我们在之前的一篇文章中确实讨论过它,它描述了勒索软件使用的一些规避技术。图5。通过GetLastInputInfo检查最后一个用户输入来检测沙盒。图5显示了更详细的逻辑:代码测量两个后续输入之间的时间间隔。任何超过一分钟的时间都被认为是二进制文件在沙盒中运行的指示器。请注意,DDOS防御需要宽带吗,除了容易出现误报之外,这种技术可以很容易地通过模拟随机用户交互来规避。规避技术-多播IcmpSendEcho我们研究的第二种反分析技术通过IcmpCreateFile和IcmpSendEcho api延迟执行。如图6所示,它们用于ping保留的多播地址(224.0.0.0),超时为30秒。理想情况下,由于不打算返回任何应答(有趣的是,我们知道一些设备错误地响应这些ICMP包),IcmpSendEcho API的副作用是将执行线程暂停30秒。图6。通过IcmpSendEcho API延迟执行。值得注意的是,cc防御盾,以前一些受感染的清洁剂样本也曾使用过类似的伎俩。在这种情况下,恶意外壳代码甚至进一步检查timeout参数是否被修补以加速执行(从而对抗反分析技术)。结论任何动态分析系统希望处理先进的规避恶意软件必须能够解开加密层和对抗基本的反分析技术。在图7中,我们可以看到完全执行原始示例时提取的所有行为:最终有效负载被识别为xmrigmonero CPU Miner的一个变体,其网络流量被正确拾取并标记为可疑。图7。XMRig CPU miner的最后一行分析。然而,令人担忧的是反分析技术正在成为这一主流。以至于它们开始变成潜在不需要的应用程序(PUA)的标准特性,包括加密矿工。希望这只是一个孤立的案例,而不是从勒索软件世界借用的一系列技术中的第一个。附录-IOCs附在下面的读者可以找到与这个分析相关的所有哈希,包括识别这个特定菌株的互斥体和XMR钱包。Sha1(样品):d86c1606094bc9362410a1076e29ac68ae98f972Sha1(有效载荷):43f84e789710b06b2ab49b47577caf9d22fd45f8互斥体:httwkxkgtsjskoumarfbjxwwlcqgxgt钱包:49ptuu9ktvr6rbkdmrsxdwisr5wPviakxszcaywnmxcszrv37gjwmbnzr7sze3qbdtnwf9lznka8er2jbigckjs6spayxyAlexander Sevtsovalxander Sevtsov是Lastline的恶意软件逆向工程师。在加入Lastline之前,他曾在卡巴斯基实验室、Avira和华为工作,专注于不同的自动恶意软件检测方法。他的研究兴趣是现代规避技术和深入的文献分析。Alexander Sevtsov(见诸)最新发帖避而不谈的莫内罗矿工:弃沙箱牟利——2018年6月20日我哈希你:逃避动态分析的简单而有效的伎俩2018年4月10日奥运会驱逐舰:韩国的新候选国——2018年2月21日关于最新发布的消息,斯特凡诺·奥尔托拉尼是拉斯泰纳的威胁情报主管。在此之前,他是卡巴斯基实验室研究团队的一员,负责与证书、政府、大学和执法机构合作。在此之前,他获得了阿姆斯特丹大学计算机科学博士学位。Stefano Ortolani(见所有)Excel 4.0 Macro Weaponization的最新帖子-2020年6月2日InfoStealers Weaponing COVID-19-2020年5月11日Nemty勒索软件规模扩大:亚太地区邮箱挤满了双下载者-2020年2月18日ShareLinkedIn TweetReddit

,ddos防御软件破解版