一、前言
自病毒木马诞生起,杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀,到现在的人工智能查杀,杀毒软件的查杀技术也是越来越复杂。但是病毒木马却仍然层出不,这是因为大部分病毒木马使用了免杀技术。
免杀技术全称为反杀毒技术(Anti Anti-Virus),简称“免杀”,指的是一种能使病毒木马免于被杀毒软件查杀的技术。不管是钓鱼攻击,还是Web渗透,对使用的病毒木马进行免杀处理,都是必不可少的操作。
在某次网络攻防演练期间,我们捕获了一个免杀样本,主要使用了“LOLBins”免杀技术。这篇文章将对该样本进行分析,以此揭开此类免杀技术的神秘面纱。
二、LOLBins概述
LOLBins,全称为“Living-Off-the-Land Binaries”,这个概念最初在2013年DerbyCon黑客大会由Christopher Campbell和Matt Graeber创造,最终由Philip Goh提出。指的是在目标操作系统上运行受信任的合法进程来执行恶意活动,例如横向移动、权限提升和远程控制等。
通俗来讲,就是大家所熟悉的“白名单”免杀技术。比如常见的Powershell.exe、Certutil.exe和Mshta.exe等程序,都属于LOLBins范畴。在一些APT攻击中,也可以看到使用LOLBins免杀技术进行攻击的活动。比如,海莲花APT组织曾使用微软操作系统自带的程序MSBuild.exe运行远程控制木马,达到免杀的效果。为了达到比较好的免杀效果,LOLBins的选取是有一定要求的。一般来说,需要包含如下特征:
1) 带有Microsoft签名或者第三方签名的程序。
2) 具有可被用于利用的功能(比如上传、下载和代码执行等)。
三、免杀原理
LOLBins为什么可以达到免杀效果?
在解答这个问题之前,我们先了解下杀毒软件的查杀原理。一般来说,杀毒软件对一个文件会采用多种方法进行查杀。大约可以分为两大类:静态查杀和行为查杀。
静态查杀主要包含病毒特征码、文件属性(HASH、图标、开发者信息)等查杀,指未运行样本采用的文件扫描技术;行为查杀主要包含沙箱模拟执行、主动防御和人工智能等查杀,是基于程序行为进行分析判断,多端联动的查杀技术。例如,样本刚“落地”就被杀毒软件查杀了,说明被静态查杀了;如果样本运行起来了,执行某些操作时被查杀了,说明此时样本的危险行为被杀毒软件检测到了。
为什么LOLBins文件可以实现免杀?这是因为LOLBins一般是正常的程序,对杀毒软件而言,是可信任的程序,所以基本上可以躲过杀毒软件的静态查杀。至于行为查杀,每种杀毒软件的实现、查杀策略多有不同。有的只要是可信任的程序,即使有高危行为也不予查杀;有的则相反,不管是不是可信任的程序,只要有高危行为,也会被查杀。
总的来说,从以下几个方面进行处理,可以实现较好的免杀效果:
1、文件特征
2、内存特征
3、程序行为
4、网络通信
选用LOLBins程序,基本不用考虑文件特征,直接静态免杀,这个是比较好的免杀思路。如果使用流行的黑客工具或者木马,需要对内存中的代码进行加花、混淆,避免内存特征被检测到。对于程序的行为,需要对选取的LOLBins程序进行测试,如果高危行为被查杀了,可以考虑使用其他的LOLBins程序执行高危操作。
网络通信数据避免使用明文,使用加密算法等进行加密,远程服务器尽量伪装为正常的服务器,必要时可以采用CDN,域前置,云函数等手法隐藏服务器IP。
试想,整个恶意活动全程使用LOLBins,形成LOLBins利用链,杀毒软件会报毒吗?
四、逆向分析
到目前为止,我们已经知道如何免杀的理论知识了。那么接下来逆向分析这个免杀样本,并借鉴它的方法,自己动手实现免杀。
样本名为LiveUpdate.exe,MD5:9050ac019b4c8dddbc5e250bb87cf9f2,这是NetSarang公司XSHELL、XFTP、XMANAGER、XLPD系列工具的更新程序,数字签名正常,如下图所示:
该样本早在2020年被上传到某些在线威胁情报平台进行检测,可能很早就被作为LOLBins进行利用,如下图所示:
样本运行后,会加载同目录下后缀为dat的同名文件,也就是LiveUpdate.dat,然后解密该文件,解析其中的脚本代码并执行,完成软件更新。LiveUpdate.dat实际上是一个zip压缩文件,解压密码为99B2328D3FDF4E9E98559B4414F7ACB9,如下图所示:
解压成功后,得到5个文件:_TUProj.dat、_TUProjDT.dat、IRIMG1.JPG、IRIMG2.JPG、IRIMG3.JPG、和IRIMG4.JPG。执行的脚本在_TUProj.dat文件中,如下图所示:
可以看出,这是Lua脚本语言。这个更新程序实际上是一个Lua脚本解析执行引擎,可以自定义Lua代码,实现文件上传、下载,进程管理,注册表管理,服务管理,命令执行等功能,完全可以作为LOLBins,实现免杀。
样本中将CS远程控制木马的Shellcode转化为数字存放在数组中,如下图所示:
然后使用DLL.CallFunction函数调用Windows原生API函数VirtualAlloc,在内存中申请新的空间存放木马的Shellcode,如下图所示:
最后调用CreateThread函数创建新线程运行木马Shellcode,实现远程控制的功能。其中还加入了正常的网络请求,混淆网络通信,如下图所示:
五、免杀测试
按照逆向分析结果和免杀原理,我们同样使用CS木马的Shellcode进行免杀测试。首先解压LiveUpdate.dat得到_TUProj.dat文件,然后修改其中的Lua代码,将混淆后的shellcode转换为数字存放在数组中,创建新线程运行。接着再将修改后的_TUProj.dat文件替换LiveUpdate.dat中的_TUProj.dat文件。最后再运行LiveUpdate.exe,实现加载LiveUpdate.dat,运行其中包含的Shellcode,如下图所示:
测试国内主流杀毒软件,静态全部免杀,运行后上线成功,执行注入等高危操作也全部免杀,免杀效果较好,如下图所示:
六、总结
基于LOLBins的攻击方法近年来在APT攻击中愈发常见,结合其他免杀技术,免杀效果极好,很难被检测和查杀。杀毒软件也应更新查杀手段,多角度对基于LOLBins的攻击行为进行定向、深入查杀。
七、参考链接
1) https://www.anquanke.com/post/id/87299/