歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

惡意軟件開發檔案解密之根據PDB路徑和其他調試細節來推測相關的惡意活動(下)

來源:本站整理 作者:佚名 時間:2019-09-18 TAG: 我要投稿


在上一篇文章中,我們介紹了PDB路徑是如何生成的以及其中包含的信息。今天,我們講接著討論通過PDB路徑展示出的異常和其他惡意行為。
PDB路徑展示:異常和其他惡意行為
互聯網是一個奇怪的地方,在足夠大的范圍內,你最終會看到你從未想過你會看到的內容。比如那些偏離常規的事情,那些逃避標準的事情,那些完全無法解釋的事情等。我們期望PDB路徑以某種方式顯示,但是我們遇到過幾個沒有這樣做的示例,而且我們并不總是確定發生的原因。下面的許多示例可能是錯誤、損壞、混淆或各種形式的故意操作的結果。我們在這里演示它們是為了說明,如果你正在嘗試PDB路徑解析或檢測,你需要了解各種各樣的路徑,并為各種各樣的惡意行為做好準備。以下示例中的每一個都來自確認的惡意軟件樣本:

惡意操作的進程差異
即使入侵操作被成功執行,其過程也存在許多差異。由于APT36有數百條泄漏的PDB路徑,所以在某些活動中執行良好OPSEC的團隊可能在會其他活動中執行不好的OPSEC。當PDB路徑出現時,PDB路徑中出現的關鍵字、術語和其他字符串項的類型都具有專業性和復雜性。一方面我們看到“njRAT-FUD 0.3”和“1337 h4ckbot”,另一方面我們看到“minidionis”和“msrstd”。
研究人員對基于字符串的檢測的常見批評是這樣的:
惡意攻擊者不像你想的那么脆弱不堪,他們會混淆和逃避簽名。
在上面關于PDB路徑關鍵字、術語和異常的表中,我們認為我們已經展示了真實的APT/FIN組、國家支持的攻擊者以及最好的攻擊者有時確實會出錯,這給了我們一個發現的機會。
下面,讓我們從一些很高級的威脅惡意軟件中挑選一些具體的示例來進行說明。
Equation Group
方程式組織(Equation Group)是一個由卡巴斯基實驗室發現的尖端網絡犯罪組織,后者將其稱為世界上最尖端的網絡攻擊組織之一,同震網(Stuxnet)和火焰(Flame)病毒的制造者緊密合作且在幕后操作。該組織被懷疑與美國國家安全局(NSA)有聯系。此外,在方程式組織使用的惡意軟件中,發現了諸如“STRAITACID”和“STRAITSHOOTER”之類的美國國家安全局代號。
2016年,“The Shadow Brokers”(影子經紀人)聲稱他們入侵了“Equation Group”(方程式組織),并將他們從該黑客組織的計算機系統中所獲取到的大部分黑客工具全部泄漏在了互聯網上。除此之外,該黑客團伙還表示,他們手中目前仍掌握著大量的機密數據,他們計劃在網上舉行一次拍賣會,并將這些機密信息出售給競價最高的競標者。
一些方程式組示例顯示了完整的PDB路徑,這表明某些惡意軟件是在用于開發的工作站或虛擬機的調試模式下編譯的。
c:\users\rmgree5\co\standalonegrok_2.1.1.1\gk_driver\gk_sa_driver\objfre_wnet_amd64\amd64\SaGk.pdb
其他方程組樣本具有部分限定的PDB路徑,它們表示一些不太明顯的內容。這些獨立的PDB名稱可能反映了更適合的多開發人員環境,在這種環境中,為單個開發人員系統指定完全限定的PDB路徑是沒有意義的。相反,指示鏈接器只在構建的可執行文件中編寫PDB文件名。盡管如此,這些PDB路徑對于他們的惡意軟件樣本來說是獨一無二的:
· tdip.pdb
· volrec.pdb
· msrstd.pdb
Regin
Regin是一款先進的隱形惡意軟件,可躲避常規反病毒軟件檢測。該惡意軟件從2008年起,就被黑客用于監視政府、公司和個人。2014年11月24日,賽門鐵克在周日發布的一份最新報告稱,近日發現了一款名為“Regin”的先進隱形惡意軟件,并稱該惡意軟件從2008年起,就被黑客用于監視政府、公司和個人。
Regin間諜工具使用了多項隱形技術,可躲避常規反病毒軟件檢測。從Regin的復雜設計來看,開發這一惡意軟件需要投入大量時間和資源,間接表明該惡意軟件是一個“國家”所開發的產品。但賽門鐵克并未指明哪個國家開發了這一惡意軟件。賽門鐵克同時表示,Regin的設計,使它非常適用于對目標進行長期監視活動。
在目前的惡意軟件開發領域,把惡意軟件看作是“后門”的想法越來越過時。目前,很多人愿意將惡意軟件稱為“植入物”。在Regin平臺的這個組件中,我們看到了一個命名意識非常超前的開發人員:
C:\dev\k1svn\dsd\Implants\WarriorPride\production2.0\package\E_Wzowski\Release\E_Qwerty.pdb
APT29
APT29之所以被大家熟知,原因就在于人們懷疑它在俄羅斯政府操控下侵入民主黨網絡系統,,干預了美國的正常選舉。它在全球范圍內肆無忌憚的入侵行為經常包含一些創造性的、精心設計的、隱秘的惡意軟件。APT29是比較擅長隱蔽自己的惡意軟件,但是在成千上萬的惡意軟件中,這些通常訓練有素的操作人員還是泄漏了一些PDB路徑,比如:
c:\Users\developer\Desktop\unmodified_netimplant\minidionis\minidionis\obj\Debug\minidionis.pdb
C:\Projects\nemesis-gemina\nemesis\bin\carriers\ezlzma_x86_exe.pdb
即使最重要的設備中沒有使用顯眼的關鍵字,在PDB路徑中仍然可能存在一些字符串術語、異常和獨特的值,每一個都代表了一個檢測的機會。
ConventionEngine規則
我們從所有可執行文件中提取并索引所有PDB路徑,這樣就可以輕松地搜索和查看檢測的數據了。但并不是每個人都能輕松做到這一點,所以我們快速收集了近100條Yara關于PDB路徑關鍵詞,術語和異常的規則。我們相信,研究人員和分析人員可以使用這些規則來檢測到可能出現的惡意攻擊。我們將這個規則集合命名為“ConventionEngine”,但在幕后,這些規則只是亂七八糟的腳本和簽名。
你可以把這些看作是“信號”或“發現規則”,它們旨在構建不同大小和保真度的干草堆,供分析人員搜索。具有低信噪比(SNR)的那些規則可以被發送到用于記錄或文件對象的上下文化的自動化系統,而具有更高SNR的規則可以被直接發送到分析員以供審查或調查。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐