[原创]极致反沙箱-银狐样本分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]极致反沙箱-银狐样本分析

发表于: 2024-8-1 14:41 5845

[原创]极致反沙箱-银狐样本分析

哑木

2024-8-1 14:41

5845

df2f4aad13fb6d08332e09fd47cd0c98

近期看到一片推送说是发现了一个银狐的新样本，具有很强的反沙箱能力
原文在这里：https://mp.weixin.qq.com/s/htc8ZTbQ23kq3TEMlkqSfA?poc_token=HBgEqmajyJM4b9BvvEWIuC9KPieys6iw2QUbbqt5

我首先在wb沙箱查了下这个文件，确实没看到有啥行为，就带着好奇心分析了一把，在这里记录下

这篇文章也主要是分析样本的反沙箱手段，详细的攻击细节可以参考上面的推文。

这个shellcode加载也是很粗暴了（甚至都没有异或加密下），就是简单的VirtualAlloc分配可执行地址后，复制shellcode到动态内存，jmp跳转到shellcode执行。

用了一个很常见的手段 call + pop的方式获取shellcode地址，然后进行解密。
接下来动态单步跟踪到解密的循环处，通过条件断点断下解密完成的时机

解密完成后通过两个jmp指令来到解密后的真实shellcode的入口

接着跟就会发现熟悉的shellcode操作，通过遍历PEB的LDR结构获取API地址

接下来直接分析dump下的内存

这一段的目的是patch ntdll.NtTraceEvent，用于绕过ETW。

接着patch了amsi.AmsiScanBuffer，用于绕过AMSI
接着进入正题，开始真正的对抗了。

这里就不留悬念了，直接给出这部分的全貌

首先通过检查样本运行起来的路径，判断是不是":\myapp.exe"，如果是，直接退出进程（最开始想来应该是部分沙箱会将样本统一命名为myapp.exe后执行）

获取进程加载的ntdll的导出表条目，遍历导出函数，计算散列值，看是否命中一个hash黑名单（3个），如果命中，退出进程。

到这里我就很好奇它是想要检查哪3个api，由于hash是单向的，也没办法从hash得到api名，我只能试着搜了下这些hash，没想到最后在网上找到了它上面这一大堆操作的出处
https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c
原来以上操作都是为了对抗Defender的模拟执行。
包括接下来利用Defender模拟执行环境某些api（NtIsProcessInJob、NtCompressKey）的硬编码的返回值来探测是否运行在Defender环境

登录后可查看完整内容

#软件保护 #病毒木马

上传的附件：

ioc.zip （91.99kb，16次下载）

收藏・9

免费・2

支持

最新回复 (14)
duskadmin 雪币： 103 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	duskadmin 2 楼 SxIn.dll模块似乎也是某个版本360的一部分，之前好像遇到过 2024-8-1 17:25 1
EX呵呵雪币： 243 活跃值： (3985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 220 粉丝 4 关注私信	EX呵呵 3 楼 SxIn.dll这个据说是反360沙箱的 2024-8-1 17:26 1
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 4 楼 okk学到了 2024-8-1 18:04 0
iamasbcx 雪币： 3694 活跃值： (3438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 7 关注私信	iamasbcx 5 楼花里胡哨的 2024-8-1 19:37 0
coneco 雪币： 4869 活跃值： (4531) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 132 粉丝 72 关注私信	coneco 3 6 楼赞，感谢分享！！ 2024-8-2 10:17 0
天堂猪0ink 雪币： 3011 活跃值： (953) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 15 粉丝 24 关注私信	天堂猪0ink 2 7 楼感谢分享！学到了 2024-8-2 11:05 0
jilvan 雪币： 4146 活跃值： (1054) 能力值： ( LV8，RANK：125 ) 在线值：发帖 3 回帖 10 粉丝 5 关注私信	jilvan 3 8 楼新鲜的样本，楼主接着分析。 pwd:infected 上传的附件： ★Setup_GUI5.11.exe.7z （75.31kb，7次下载） 2024-8-2 11:31 1
热咖啡雪币： 3259 活跃值： (3373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 2 关注私信	热咖啡 9 楼 360沙箱能被干掉不？经常用，有点怕了。 2024-8-2 11:50 0
fengyunabc 雪币： 3727 活跃值： (3847) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 10 楼感谢分享。 2024-8-2 11:54 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 11 楼开了核晶干不掉 2024-8-3 09:35 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 12 楼 jilvan 新鲜的样本，楼主接着分析。 pwd:infected 感谢分享，有时间了分析看看 2024-8-3 09:37 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 13 楼热咖啡 360沙箱能被干掉不？经常用，有点怕了。开了核晶干不掉 2024-8-3 09:42 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 14 楼 jilvan 新鲜的样本，楼主接着分析。 pwd:infected 样本里的下载链接已经失效了 hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat 2024-8-3 09:57 0
jilvan 雪币： 4146 活跃值： (1054) 能力值： ( LV8，RANK：125 ) 在线值：发帖 3 回帖 10 粉丝 5 关注私信	jilvan 3 15 楼哑木样本里的下载链接已经失效了 hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat 这个去国内几个搜索引擎搜下就有了，关键词”钉钉“，”百度网盘“，一般广告第一个，第二个的样子，下载下来没签名大小十几M就是了，多换几个国内代理，一般中小城市居多。 2024-8-8 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

哑木

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
duskadmin 雪币： 103 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	duskadmin 2 楼 SxIn.dll模块似乎也是某个版本360的一部分，之前好像遇到过 2024-8-1 17:25 1
EX呵呵雪币： 243 活跃值： (3985) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 220 粉丝 4 关注私信	EX呵呵 3 楼 SxIn.dll这个据说是反360沙箱的 2024-8-1 17:26 1
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 4 楼 okk学到了 2024-8-1 18:04 0
iamasbcx 雪币： 3694 活跃值： (3438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 183 粉丝 7 关注私信	iamasbcx 5 楼花里胡哨的 2024-8-1 19:37 0
coneco 雪币： 4869 活跃值： (4531) 能力值： ( LV10，RANK：171 ) 在线值：发帖 10 回帖 132 粉丝 72 关注私信	coneco 3 6 楼赞，感谢分享！！ 2024-8-2 10:17 0
天堂猪0ink 雪币： 3011 活跃值： (953) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 15 粉丝 24 关注私信	天堂猪0ink 2 7 楼感谢分享！学到了 2024-8-2 11:05 0
jilvan 雪币： 4146 活跃值： (1054) 能力值： ( LV8，RANK：125 ) 在线值：发帖 3 回帖 10 粉丝 5 关注私信	jilvan 3 8 楼新鲜的样本，楼主接着分析。 pwd:infected 上传的附件： ★Setup_GUI5.11.exe.7z （75.31kb，7次下载） 2024-8-2 11:31 1
热咖啡雪币： 3259 活跃值： (3373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 76 粉丝 2 关注私信	热咖啡 9 楼 360沙箱能被干掉不？经常用，有点怕了。 2024-8-2 11:50 0
fengyunabc 雪币： 3727 活跃值： (3847) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 10 楼感谢分享。 2024-8-2 11:54 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 11 楼开了核晶干不掉 2024-8-3 09:35 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 12 楼 jilvan 新鲜的样本，楼主接着分析。 pwd:infected 感谢分享，有时间了分析看看 2024-8-3 09:37 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 13 楼热咖啡 360沙箱能被干掉不？经常用，有点怕了。开了核晶干不掉 2024-8-3 09:42 0
哑木雪币： 450 活跃值： (394) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	哑木 14 楼 jilvan 新鲜的样本，楼主接着分析。 pwd:infected 样本里的下载链接已经失效了 hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat 2024-8-3 09:57 0
jilvan 雪币： 4146 活跃值： (1054) 能力值： ( LV8，RANK：125 ) 在线值：发帖 3 回帖 10 粉丝 5 关注私信	jilvan 3 15 楼哑木样本里的下载链接已经失效了 hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat 这个去国内几个搜索引擎搜下就有了，关键词”钉钉“，”百度网盘“，一般广告第一个，第二个的样子，下载下来没签名大小十几M就是了，多换几个国内代理，一般中小城市居多。 2024-8-8 11:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复