似乎发现了一种新的木马病毒
- 内容介绍
- 文章标签
- 相关推荐
事先确认:这玩意不是银狐 也并非其变种!
CrowdStrike拦截的病毒 差一点就给我打开了 但是它入库给我样本扬了 所以目前只能先说llvm反编译并作二进制工程后的分析结果 如果有人提取到了攻击类型相同的样本麻烦发一下谢谢喵
这玩意是我原本在翻qemu便携版的时候找的鬼玩意喵
攻击目标: Windows
沙盒测试机: Windows 11 25H2 Pro Workstation KMS Activate
攻击路径推演:
qemuinstaller.msi内嵌恶意载荷
释放qemupak.zip(我原本想提取这个)&aakkqsw.exe&criteria.dll
启动aakkqsw.exe 此exe拥有EV签名 似乎是某个杀毒软件的exe 然后它会加载断言查询器 此时criteria.dll发挥作用 利用其EV信任开始横向移动 释放多个随机名称jpg 使用shmemfd-map等方式打开 提取有效位最后一个字节作为XOR-KEY 然后解密后面的内容 后面的内容是一段混淆的亲妈都不认识的TCL脚本 这个图片是rickroll我帮你们看了喵 然后通过COM特殊反射和schwtask创建任务 潜伏开始
顺带一提 这玩意巨tm神人 所有逻辑都是TCL写的 但是它自带的TCL解释器里面有一些内存读写啥的扩展 因此能正常实现喵 当然有部分逻辑还是C++喵 用的是MSVC编译喵
约30min后 schwtask启动 rpc-call了service.exe并启动SYSTEM权限svhost.exe 马上pause并注入恶意代码 修改执行指针 resume svhost开始执行恶意代码 利用SYSTEM执行操作并创建一个傀儡dwm.exe 同样手法注入 但是dwm此时会主动提权到TrustedInstaller 然后释放Ring0.sys并加载 利用它执行msr瞎改VMX寄存器破坏360的vtd保护 同时将AMSI函数全部改成retn 禁用回调并破坏大量杀软的驱动内存 随后ZwProcessKill干爆tray等 加载ELAM(rootkit)持久化 拉黑火绒和360的签名 释放恶意SysWOW64 并hook掉不少IO操作 少数无法被干掉的杀软此时正式失效喵
不幸的是 我的honeypot分析软件也在此时被干掉了 因为用的VMX被当成360处理了喵 所以接下来的操作纯逆向分析推测的喵
然后就是一套流 wd白名单啥的 然后安装木马 下发各种payload云云喵ww
--【壹】--:
虽然看不懂,但听这语气就是大佬
--【贰】--:
不懂 但是好高深
--【叁】--:
有样本吗,好奇如何提权和破坏vtd的?
--【肆】--:
原来是这样破坏360的虚拟防御的吗 之前研究免杀 都和我说什么破坏虚拟化绕过 也没说怎么搞 原来这样就行 学到了 不过这玩意要签名吧 内核签名也不好搞
--【伍】--:
Ring0.sys是一个开源的驱动 有EV签名的哦喵
这波是借刀杀人属于是 专业点说叫BYOVD(Bring Your Own Vulurable Driver)喵
Ring0.sys本来是拿来做硬件驱动的 支持执行DMA 于是这个病毒就使用DMA反射 把某个seg反过来映射到VMX寄存器 然后往里面写随机数 VMX就炸了喵 Hypervisor状态混乱 然后就会退出喵
--【陆】--:
不懂 但是看着说话喵喵喵的 就让我想到了Github的二次元大佬的模样
--【柒】--:
所以佬有样本或 hash 吗?好奇ing
--【捌】--:
大佬最好还是补充一个分析的文章学习一下
--【玖】--:
提权方式是建立一个高权限任务 然后COM反射提权 文件不落地直接反向解码命令行 通过rundll32运行 密钥在命令行参数里面喵 然后就是rpc啥的了喵
破坏vtd的原理就是msr瞎改VMX寄存器 然后就会导致状态位混乱 各种基址起飞 代码无法正常运行 然后vtd就似了喵
事先确认:这玩意不是银狐 也并非其变种!
CrowdStrike拦截的病毒 差一点就给我打开了 但是它入库给我样本扬了 所以目前只能先说llvm反编译并作二进制工程后的分析结果 如果有人提取到了攻击类型相同的样本麻烦发一下谢谢喵
这玩意是我原本在翻qemu便携版的时候找的鬼玩意喵
攻击目标: Windows
沙盒测试机: Windows 11 25H2 Pro Workstation KMS Activate
攻击路径推演:
qemuinstaller.msi内嵌恶意载荷
释放qemupak.zip(我原本想提取这个)&aakkqsw.exe&criteria.dll
启动aakkqsw.exe 此exe拥有EV签名 似乎是某个杀毒软件的exe 然后它会加载断言查询器 此时criteria.dll发挥作用 利用其EV信任开始横向移动 释放多个随机名称jpg 使用shmemfd-map等方式打开 提取有效位最后一个字节作为XOR-KEY 然后解密后面的内容 后面的内容是一段混淆的亲妈都不认识的TCL脚本 这个图片是rickroll我帮你们看了喵 然后通过COM特殊反射和schwtask创建任务 潜伏开始
顺带一提 这玩意巨tm神人 所有逻辑都是TCL写的 但是它自带的TCL解释器里面有一些内存读写啥的扩展 因此能正常实现喵 当然有部分逻辑还是C++喵 用的是MSVC编译喵
约30min后 schwtask启动 rpc-call了service.exe并启动SYSTEM权限svhost.exe 马上pause并注入恶意代码 修改执行指针 resume svhost开始执行恶意代码 利用SYSTEM执行操作并创建一个傀儡dwm.exe 同样手法注入 但是dwm此时会主动提权到TrustedInstaller 然后释放Ring0.sys并加载 利用它执行msr瞎改VMX寄存器破坏360的vtd保护 同时将AMSI函数全部改成retn 禁用回调并破坏大量杀软的驱动内存 随后ZwProcessKill干爆tray等 加载ELAM(rootkit)持久化 拉黑火绒和360的签名 释放恶意SysWOW64 并hook掉不少IO操作 少数无法被干掉的杀软此时正式失效喵
不幸的是 我的honeypot分析软件也在此时被干掉了 因为用的VMX被当成360处理了喵 所以接下来的操作纯逆向分析推测的喵
然后就是一套流 wd白名单啥的 然后安装木马 下发各种payload云云喵ww
--【壹】--:
虽然看不懂,但听这语气就是大佬
--【贰】--:
不懂 但是好高深
--【叁】--:
有样本吗,好奇如何提权和破坏vtd的?
--【肆】--:
原来是这样破坏360的虚拟防御的吗 之前研究免杀 都和我说什么破坏虚拟化绕过 也没说怎么搞 原来这样就行 学到了 不过这玩意要签名吧 内核签名也不好搞
--【伍】--:
Ring0.sys是一个开源的驱动 有EV签名的哦喵
这波是借刀杀人属于是 专业点说叫BYOVD(Bring Your Own Vulurable Driver)喵
Ring0.sys本来是拿来做硬件驱动的 支持执行DMA 于是这个病毒就使用DMA反射 把某个seg反过来映射到VMX寄存器 然后往里面写随机数 VMX就炸了喵 Hypervisor状态混乱 然后就会退出喵
--【陆】--:
不懂 但是看着说话喵喵喵的 就让我想到了Github的二次元大佬的模样
--【柒】--:
所以佬有样本或 hash 吗?好奇ing
--【捌】--:
大佬最好还是补充一个分析的文章学习一下
--【玖】--:
提权方式是建立一个高权限任务 然后COM反射提权 文件不落地直接反向解码命令行 通过rundll32运行 密钥在命令行参数里面喵 然后就是rpc啥的了喵
破坏vtd的原理就是msr瞎改VMX寄存器 然后就会导致状态位混乱 各种基址起飞 代码无法正常运行 然后vtd就似了喵