[2024]用EDR剖析流行黑产组织对抗安全软件的多重手段 huoji EDR,银狐 2024-05-02 320 次浏览 0 次点赞 ### 文章总结 本文介绍了在日常巡查中发现的一个虚假WPS官网,该网站被用来投放含有gh0st远控功能的恶意软件。这一行为被认定为“银狐”黑产组织所为。与以往不同的是,这个样本采用了多种安全软件对抗技术,成功绕过了大多数基于HIPS的安全软件的防御机制。 技术分析部分指出,样本对杀毒软件进行了免杀处理,目前只有三个杀毒软件能够检测到其为恶意软件。样本使用了一种更高级的虚假数字签名技术,这种签名对文件本身是可信的,但对签名链不可信,因此能够规避一些基于文件签名信任的杀毒引擎。 在持久化方面,样本会在启动后立即通过白加黑的方法加载恶意DLL,并创建服务等待下次重启。防御规避方面,样本会在用户重启电脑时以服务方式启动,并使用DLL侧加载方式劫持白名单文件,最终通过镜像篡改的方式启动注入器,给系统进程注入恶意代码,并连接C2服务器进行远控操作。 文章还提到了使用EDR进行分析的便利性,EDR能够标注恶意行为,从而无需对代码进行分析,只需观察行为即可。 最后,文章提供了相关的IOC列表,以及原文章的链接,供进一步的研究和分析。 ### 简介 在日常巡查中发现了一个虚假的wps官网在投放gh0st远控,经过行为判定,是”银狐” 类黑产组织所为.但不一样的是,样本运用了多种安全软件对抗技术,从而绕过大部分国内外的基于HIPS的安全软件的防御机制. ![](https://key08.com/usr/uploads/2024/05/742723484.png) **要对他进行分析,静态各种混淆壳十分的麻烦,所以使用EDR,不需要对代码分析,只需要看行为,EDR还把行为标注好了,非常的舒服** 整体攻击流程如下: ![](https://key08.com/usr/uploads/2024/05/1177939857.png) ### 技术分析 样本静态对杀毒软件做了免杀处理,截至发文前在VT上只有三个杀毒软件报毒: ![](https://key08.com/usr/uploads/2024/05/3590642447.png) 样本使用了”更高级”一点的虚假数字签名,传统的数字签名伪造技术是复制其他程序的数字签名到本程序,这种类型的签名对”文件本身”来说是不可信的,即出现”数字签名校验错误”. 但此样本是伪造了一个对文件可信但是对签名链不可信的签名,因此能规避一些基于文件签名信任的杀毒引擎: ![](https://key08.com/usr/uploads/2024/05/3591441133.png) ### 持久化 样本在启动后,会第一时间通过白加黑的方法,加载黑DLL: ```cpp C:\Users\%username%\Desktop\Kveed9b1eUQf\yybob\HipsdiaMain.dll C:\Users\%username%\Desktop\Kveed9b1eUQf\yybob\TDPINFO.dll ``` ![](https://key08.com/usr/uploads/2024/05/3142201771.png) 这两个DLL被加载后会第一时间创建服务ZBJCOptimization: ![](https://key08.com/usr/uploads/2024/05/4058019230.png) 但并不会直接启动服务,而是等待下次重启. ### 防御规避 在用户下次重启电脑启动时,样本以服务方式跟随开机启动,并且使用DLL侧加载的方式劫持多个国内流行的文件的白文件实现链路全白的防御规避行为: ![](https://key08.com/usr/uploads/2024/05/1432685890.png) 最终使用镜像篡改的方式启动注入器并且给svchost.exe与SecurityHealthHostn.exe注入恶意代码执行: ![](https://key08.com/usr/uploads/2024/05/606541326.png) 最终由被注入了恶意代码的svchost.exe与SecurityHealthHostn.exe连接C2,进行后续远控操作: ![](https://key08.com/usr/uploads/2024/05/621745454.png) ### 用EDR分析 ![](https://key08.com/usr/uploads/2024/05/4059419782.png) ![](https://key08.com/usr/uploads/2024/05/562705877.png) ### 原文章 https://mp.weixin.qq.com/s/zcr5B_LLXp5c5D9GhTefdg ### ioc列表 ```cpp E60D144B090D4D0E504DF4B11939EC7FDBDADB58 143.92.34.213 ``` 本文由 huoji 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。 点赞 0
这个签名伪造是什么做的呢
自己创建的证书