首页
社区
课程
招聘
[原创]极致反沙箱-银狐样本分析
发表于: 2024-8-1 14:41 6567

[原创]极致反沙箱-银狐样本分析

2024-8-1 14:41
6567

df2f4aad13fb6d08332e09fd47cd0c98

近期看到一片推送说是发现了一个银狐的新样本,具有很强的反沙箱能力
原文在这里:https://mp.weixin.qq.com/s/htc8ZTbQ23kq3TEMlkqSfA?poc_token=HBgEqmajyJM4b9BvvEWIuC9KPieys6iw2QUbbqt5

我首先在wb沙箱查了下这个文件,确实没看到有啥行为,就带着好奇心分析了一把,在这里记录下

这篇文章也主要是分析样本的反沙箱手段,详细的攻击细节可以参考上面的推文。

这个shellcode加载也是很粗暴了(甚至都没有异或加密下),就是简单的VirtualAlloc分配可执行地址后,复制shellcode到动态内存,jmp跳转到shellcode执行。


用了一个很常见的手段 call + pop的方式获取shellcode地址,然后进行解密。
接下来动态单步跟踪到解密的循环处,通过条件断点断下解密完成的时机

解密完成后通过两个jmp指令来到解密后的真实shellcode的入口

接着跟就会发现熟悉的shellcode操作,通过遍历PEB的LDR结构获取API地址

接下来直接分析dump下的内存


这一段的目的是patch ntdll.NtTraceEvent,用于绕过ETW。

接着patch了amsi.AmsiScanBuffer,用于绕过AMSI
接着进入正题,开始真正的对抗了。

这里就不留悬念了,直接给出这部分的全貌

首先通过检查样本运行起来的路径,判断是不是":\myapp.exe",如果是,直接退出进程(最开始想来应该是部分沙箱会将样本统一命名为myapp.exe后执行)

获取进程加载的ntdll的导出表条目,遍历导出函数,计算散列值,看是否命中一个hash黑名单(3个),如果命中,退出进程。

到这里我就很好奇它是想要检查哪3个api,由于hash是单向的,也没办法从hash得到api名,我只能试着搜了下这些hash,没想到最后在网上找到了它上面这一大堆操作的出处
https://github.com/hfiref0x/UACME/blob/master/Source/Shared/windefend.c
原来以上操作都是为了对抗Defender的模拟执行。
包括接下来利用Defender模拟执行环境某些api(NtIsProcessInJob、NtCompressKey)的硬编码的返回值来探测是否运行在Defender环境


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 2
支持
分享
最新回复 (14)
雪    币: 103
活跃值: (120)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
SxIn.dll模块似乎也是某个版本360的一部分,之前好像遇到过
2024-8-1 17:25
1
雪    币: 256
活跃值: (4035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
SxIn.dll这个据说是反360沙箱的
2024-8-1 17:26
1
雪    币: 450
活跃值: (399)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
okk学到了
2024-8-1 18:04
0
雪    币: 3755
活跃值: (3503)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
花里胡哨的
2024-8-1 19:37
0
雪    币: 4889
活跃值: (4551)
能力值: ( LV10,RANK:171 )
在线值:
发帖
回帖
粉丝
6
赞,感谢分享!!
2024-8-2 10:17
0
雪    币: 3011
活跃值: (953)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
7
感谢分享!学到了
2024-8-2 11:05
0
雪    币: 4148
活跃值: (1064)
能力值: ( LV8,RANK:125 )
在线值:
发帖
回帖
粉丝
8

新鲜的样本,楼主接着分析。 pwd:infected

上传的附件:
2024-8-2 11:31
1
雪    币: 3307
活跃值: (3428)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
360沙箱能被干 掉不?经常用,有点怕了。
2024-8-2 11:50
0
雪    币: 3729
活跃值: (3852)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
10
感谢分享。
2024-8-2 11:54
0
雪    币: 450
活跃值: (399)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
开了核晶干不掉
2024-8-3 09:35
0
雪    币: 450
活跃值: (399)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
jilvan 新鲜的样本,楼主接着分析。 pwd:infected
感谢分享,有时间了分析看看
2024-8-3 09:37
0
雪    币: 450
活跃值: (399)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
13
热咖啡 360沙箱能被干 掉不?经常用,有点怕了。
开了核晶干不掉
2024-8-3 09:42
0
雪    币: 450
活跃值: (399)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
14
jilvan 新鲜的样本,楼主接着分析。 pwd:infected
样本里的下载链接已经失效了
hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat
2024-8-3 09:57
0
雪    币: 4148
活跃值: (1064)
能力值: ( LV8,RANK:125 )
在线值:
发帖
回帖
粉丝
15
哑木 样本里的下载链接已经失效了 hxxps://r8o1.oss-cn-hangzhou.aliyuncs.com/i.dat
这个去国内几个搜索引擎 搜下就有了,关键词”钉钉“,”百度网盘“, 一般广告第一个,第二个的样子,下载下来没签名大小十几M就是了,多换几个国内代理,一般中小城市居多。
2024-8-8 11:48
0
游客
登录 | 注册 方可回帖
返回
//