玩猫捉老鼠:滥用三种技术以避免被发现
Yoroi-Cybaze Zlab的专家描述了三种通常由威胁行动者实施的技术,以避免被发现。
介绍
在我们的分析过程中,我们不断遇到网络攻击者用来绕过公司安全防御的伎俩,有时是先进的,有时不是。很多时候,尽管这些技术优雅(或缺乏优雅),但它们是有效的,实际上帮助网络罪犯进入受害者的电脑,并渗透到公司网络中。这篇技术文章旨在揭示目前被各种威胁行为者滥用的一些技术细节,以帮助安全运营商、行业和公司减轻其影响。
技术分析
下面的部分描述了我们最近分析的三个案例,重点介绍了网络犯罪分子和威胁集团目前用来逃避检测的一些技巧。前两个是与Office文档相关的技术,用于隐藏恶意负载并引诱用户。第三个是关于二进制有效载荷滥用代码签名技巧,以逃避传统的安全控制。
破碎的文件
| SHA256 | e2f931207a217983c8608253b137b7874f5b402b15039b3788e5fa2e8fc040da |
| 威胁 | cve-2017-0199文件 |
| 简要描述;简介 | Document Dropper利用cve-2017-0199 |
| Ssdeep | 96:Hd4 + dGCbidUEd9IUfPLIuSdFpMcuGg5mLWStWiWrVMd92c SCedL0m03mbRTiqhrr:C + bcyucyMtWNYk0mqQTnhr5OARQT6 |
表1.样本信息
我们解剖的第一个技巧采用“ 自愿文档损坏 ”来说服用户恢复原始文件并下载恶意负载而不会发现任何可疑警报。作为研究案例,我们选择了包含CVE-2017-0199 漏洞的Word文档 ,该文档允许文档在开放时下载并执行任意代码。下图显示将执行对远程代码的外部引用:“ hxxps://www.protectiadatelor [.biz / js / Oj1 / smile.doc”。
图1.分析文档中的外部资源
通常,诸如此类的武器化文档的打开可能会提醒受过训练的,知晓的用户:一个奇怪的弹出窗口警告存在引用外部文件的“ 链接 ”。
图2.可疑的弹出窗口
此消息可能对受害者有疑问,因此他可以删除该文档,避免感染。但通过我们观察到的技巧,可以绕过“ 用户警告 ”。该示例包含文档本身的小心损坏:攻击者删除了一些字节而不影响漏洞利用的行为。
图3.损坏的文档
一旦用户打开精心制作的文件,MS Word就会显示一条不同的弹出消息:现在它报告文档已损坏并要求确认其恢复。与前一个完全不同的消息,让受害者认为该文件刚好被打破。
图4.弹出窗口报告无法打开文档
单击“ 是 ”后,MS Word会自动恢复文件内容并启动漏洞利用,这将下载并执行其他有效负载。
使用Office Developer Mode隐藏有效负载
我们分析的其他恶意文档使用技巧隐藏MS Office开发人员控制对象中的实际负载:组件通常对最终用户不可见。实际上,在大多数Office安装中,默认情况下禁用开发人员选项卡,因此识别异常对象的存在更加困难。
这种技术已用于我们 前几次分析的样本中 。在开放时间,该文件看起来像许多其他人。
图5.经典网络钓鱼文档视图
但是,宏代码分析显示真实的有效载荷包含在其他地方,特别是在名为“ Kplkaaaaaaaz ” 的对象中。
图6.文档中嵌入的宏代码的一部分
在启用宏代码之后,此隐藏对象显示为一个小文本框(图7)。
图7.文档的修改视图
如果不启用Word开发人员模式,则在相应的“选项”菜单中,无法选择和修改对象的属性。因此,在启用它之后,我们能够探索对象内容:Base64编码的有效负载。
图8.提取的有效负载
使用此策略,恶意软件编写者将可识别的有效负载移动到更难以检测自动和手动分析的部分中,从而在静态分析期间获得较低的检测率。
欺骗签名
另一种被网络罪犯滥用的有趣技术是“ 证书欺骗 ”,允许恶意软件轻易绕过相关部分的反病毒引擎,即使它们采用理论上能够检测加密和打包威胁的识别技术。实际上,攻击者也可以获得有效的证书,证明他的恶意软件窃取加密密钥给合法所有者或利用流氓公司,正如我们报告中描述的TA505黑客组织使用的签名电子邮件窃取程序所观察到的那样 。
然而,在许多情况下,逃避检测可能需要更少的努力:即使是 无效的 证书也足以实现目标,例如在最近的Ursnif攻击活动中(Yomi Hunter上的样本 )。
图9. Ursnif样本上的欺骗签名
使用证书欺骗技术,攻击者可以使用来自任何网站的任意证书签署任意可执行文件。作为研究案例,我们重新使用这种技术签署了一个利用赛门铁克网站证书的已知Emotet二进制文件。
| SHA256 | ff7283f7b9eb077603a6963f1c6f95abefd0d5acdae4bddc691ac57c3f6a8e05 |
| 威胁 | Emotet |
| 简要描述;简介 | Emotet有效载荷 |
| Ssdeep | 1536:X6fyfENGX6yu5XLyR2zrcPSDILuhJiI9 + F04OLD2DjalDxX 7CLNiu:X6ho6yuxU8Dhc ++ uD32azXGLN |
表2.样本信息
| SHA256 | a3586bee7179bcf60f25c4dc3d25e341a01ca73fdfbea290c5df9d2601c9bb90 |
| 威胁 | Emotet |
| 简要描述;简介 | 使用Symantec证书签署的Emotet负载 |
| Ssdeep | 1536:U6fyfENGX6yu5XLyR2zrcPSDILuhJiI9 + F04OLD2DjalDxX7 CLNiuexK3hJw:U6ho6yuxU8Dhc ++ uD32azXGLNuIw |
表3.样本信息
图10.没有和有假证书的样本之间的比较
正如Microsoft SignTool实用程序所确认的那样,文件签名结果 无效,正如预期的那样。
图11. SignTool检查报告证书无效
但是,这个技巧导致VirusTotal检测率从36降低到20.甚至Symantec AV也没有将样本检测为恶意!
为了正确起见,正如Chronicle Security所说,Virustotal不是“ 不同防病毒产品之间的比较指标 ”,因此这个结果并不意味着整体防病毒解决方案的质量。保守地说,它提供了关于内部检测机制的线索,显示了攻击者如何绕过一些识别逻辑; 不是整个AV解决方案。
图12.由于添加了证书,检测率降低了
两个样本之间的低级差异分析证实,证书添加不会以任何方式影响恶意软件的功能部分,因此也不会影响其行为。
图13.在十六进制级别没有和有假证书的样本之间的比较
结论
显示的技术只是威胁演员实施的无数escamotage的一部分,以使检测更难。我们不断观察使用这些技巧的攻击尝试,我们仍然惊讶地看到,如今,他们可以经常降低检测率,即使这些技巧众所周知。
我们希望直接关注这些技巧中的一小部分会将安全玩家和网络犯罪分子之间的永久性猫捉老鼠游戏推向一边,从而提高了威胁用户和公司的恶意攻击者的标准和成本。
在Yoroi博客上发布的原始分析中报告了更多技术细节,包括IoC和Yara规则:
官方 