《采用多种沙箱识别技术的kasidet家族分析》由会员分享,可在线阅读,更多相关《采用多种沙箱识别技术的kasidet家族分析(13页珍藏版)》请在金锄头文库上搜索。
1、采用多种沙箱识别技术的采用多种沙箱识别技术的 Kasidet 家族分析家族分析安天实验室安天实验室文 档 信 息文 档 信 息作 者作 者安天 CERT发 布 日 期发 布 日 期2015/08/11背 景 介 绍背 景 介 绍近日,安天 CERT(安全研究与应急处理中心)的研究人员捕获了一个针对调试器、模拟器、虚拟机、沙箱、在线自动化样本分析系统的僵尸样本(Bot) ,安天 CERT 研究人员发现该 Bot 样本为Kasidet 家族。版 权 说 明版 权 说 明本文版权属于安天实验室所有。 本着开放共同进步的原则, 允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接,并保证文章
2、完整性。 以商业用途使用本文的, 请联系安天实验室另做授权。采用多种沙箱识别技术的 Kasidet 家族分析安天实验室 版权所有,欢迎无损转载第 2 页采用多种沙箱识别技术的 Kasidet 家族分析_V1.2.1(2015 年 8 月 11 日首次发布)安天安全研究与应急处理中心(Antiy CERT)1概述近日,安天 CERT(安全研究与应急处理中心)的研究人员捕获了一个针对调试器、模拟器、虚拟机、沙箱、在线自动化样本分析系统的僵尸样本(Bot) ,安天 CERT 研究人员发现该 Bot 样本为 Kasidet 家族,样本版本号为 3.9.4。2事件样本分析2.1样本标签样本标签病毒名称病
3、毒名称TrojanBackdoor/Win32.KasidetMD54298A3CFC3E890A4AF82C1721EB4372D处理器架构处理器架构X86-32 文件大小文件大小103 KB (105,472 字节)文件格式文件格式BinExecute/Microsoft。EXE:X86时间戳时间戳559EF11B-2015-07-10 06:09:31数字签名数字签名NO加壳类型加壳类型无编译语言编译语言Microsoft Visual C+ 6.02.2样本样本的主的主要要功能功能DDOS 攻击键盘记录器窃取文件(如,比特币钱包)USB 传播反调试、反虚拟机和反沙箱FTP 嗅探功能采用
4、多种沙箱识别技术的 Kasidet 家族分析安天实验室 版权所有,欢迎无损转载第 3 页2.3样本样本流程图流程图Sample提升权限 sub_40DB60创建互斥量 OWZCEN323F反调试 反虚拟机 反沙箱创建DOS格式批处 理文件,利用 cmd.exe执行该文 件删除自身结束否复制自身到 %Application Data% OWZCEN323F添加注册表启动项获取系统GUID获取系统版本信息获取系统安装的反 病毒软件列表Base64解密出上线 地址,发送上线数 据,等待接受远程 控制遍历系统进程,发 送POST数据向C WOW64; rv: 35.0) Gecko/20100101
5、Firefox/35.0;Cookie 的键必须是 authkeys,且值是设定好的经过 Md5 加密的密钥;提交请求的标志必须是 auth,用于向主机连接;如果以上四点中有任何一点不满足,那么授权将会失败;有趣的是,无论是否验证成功,服务器将会返回一个 404 页面:图图 13 服务器服务器返回返回的的 404 页面页面2授权失败如果授权失败,那么僵尸主机上的恶意软件将不再活动,流量分析获取不到任何恶意软件与主机之间的通信,即使是删除掉恶意软件重新运行也获取不到流量信息,僵尸网络为了保证通信安全,将该受害者主机 IP 列入黑名单,禁止继续通信。3授权成功尽管返回的都是Not Found页面,
6、 但是在授权成功的时候, 服务器的响应夹杂在404页面的注释内容中,通过浏览器的审查网页元素功能进行比较,可以看到明显的不同,如下所示:采用多种沙箱识别技术的 Kasidet 家族分析安天实验室 版权所有,欢迎无损转载第 11 页图图 14 审查网页元素功能审查网页元素功能比较比较上图标记为 1 的部分表示验证失败,标记为 2 的部分虽然也显示 404 Not Found,但是明显多了一个注释内容,在这个注释内容中,数据内容是使用 Base64 编码的,其“DEBUG“为标记,内容解码后得到的字符为“pong“,从字面意思来看表示连通的意思。当受害者主机上的恶意软件检索得到该内容时,将会知道“
7、我已经与主机取得了联系,可以继续与主机通信“。需要注意的是上述服务器响应中,DEBUG 起到界定符的作用,在不同的行为中界定符是不一样的。2.5.3心跳抓取在恶意代码与主机取得通信后,首先等待十分钟左右,然后向服务器发出一个具有系统信息的 POST请求:采用多种沙箱识别技术的 Kasidet 家族分析安天实验室 版权所有,欢迎无损转载第 12 页图图 15 发送带有发送带有系统系统信息信息的的 POST 请求请求收集的系统信息内容如下:项目项目含义含义cmd向服务器发送的请求标志uid受害者主机的唯一标志符os受害者主机的操作系统av受害者主机的反病毒软件version受害者主机感染的恶意软件
8、版本quality受害者主机的网络连接性能2.5.4Snort 规则alert tcp any any - any 80 (pcre:“/cmd=0-11msg:“Kasidet!“;nocase;)3总结安天 CERT 的研究人员针对 Kasidet 家族对调试器、模拟器、虚拟机、沙箱和在线自动化恶意代码分析平台的检测进行了详细分析。从 Kasidet 家族反制在线自动化恶意代码分析平台的方法上看,该家族的作者采用多种沙箱识别技术的 Kasidet 家族分析安天实验室 版权所有,欢迎无损转载第 13 页有可能通过对常见的在线自动化恶意代码分析平台进行过针对性的研究,利用收集各种系统信息的恶意
9、代码提炼出反制在线自动化恶意代码分析平台的方法,并应用到 Kasidet 家族中。安天 CERT 的研究人员对 Kasidet 家族的其他版本进行对比分析发现,不同的 Kasidet 家族变种对模拟器、虚拟机、沙箱的检测也略有不同。例如,有的变种通过检测虚拟机运行时所需要的 DLL 文件来判断是否运行在虚拟机中。附录一:关于安天安天从反病毒引擎研发团队起步,目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累,形成了海量安全威胁知识库,并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验,推出了应对持续、高级威胁(APT)的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是 CNNVD 六家一级支撑单位之一。安天移动检测引擎是获得全球首个 AV-TEST(2013)年度奖项的中国产品,全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。关于反病毒引擎更多信息请访问:http:/(中文)http:/ (英文)关于安天反 APT 相关产品更多信息请访问:http:/
