某黑产最新免杀攻击样本详细分析

前言概述

近日有朋友通过微信发我一个样本，如下所示：

在 VT 上查了一下样本，发现竟然只有一个报毒的，如下所示：

样本第一次上传的日期是 2024 年 7 月 12 日，到现在为止也还只有一家报毒，笔者针对这个最新的免杀样本进行了详细分析，分享出来供大家参考学习。

详细分析

1. 样本解压之后，如下所示：

1. 采用白+黑的方式加载恶意 DLL，如下所示：

1. 恶意 DLL 在 VT 上的识别率非常低，通过分析它的导出函数，基本都使用 MessageBoxA 进行重构，如下所示：

1. 然后发现有一个函数没有使用 MessageBoxA，如下所示：

1. 对比这个函数与原文件函数，如下所示：

1. 进入这个函数，发现会读取内目录下的 TXT 加密数据，如下所示：

1. 然后通过函数解密加密的数据，如下所示：

1. 读取 TXT 文件加密数据到内存当中，如下所示：

1. 解密加密的数据，解密之后，如下所示：

1. 解压缩上面解密后的数据，如下所示：

1. 解压缩之后，如下所示：

1. 解压缩后的 PayLoad 使用 UPX 加壳，编译时间为 2024 年 6 月 5 日，如下所示：

1. 使用 upx 解壳，如下所示：

1. 将解密解压缩出来的 PayLoad 拷贝加载到分配的内存空间，如下所示：

1. 抺掉 PE 文件标识，如下所示：

1. 抺掉 PayLoad 的 PE 文件标识之后，如下所示：

1. 跳转执行到 PayLoad 的入口代码处，如下所示：

1. 执行解壳代码，最后跳转到脱壳后的代码入口点，如下所示：

1. 创建互斥变量，使用 IsDebuggerPresent 反调试，如下所示：

1. 获取系统信息和内存状态等信息反虚拟机，如下所示：

1. 指定进程的优先级，如下所示：

1. 解密远程服务器 C2 配置信息，如下所示：

1. 解密函数，如下所示：

1. 解密出来的远程服务器 C2 配置信息，如下所示：

1. 判断是否为管理员权限，如果是管理员权限，则执行相关的操作等，如下所示：

1. 查询相关的注册表键值，如下所示：

1. 如果注册表键值存在，则启动相应的服务，服务名为 Windows Eventn，如下所示：

1. 创建指定的文件目录，如下所示：

1. 将文件夹设置为隐藏属性，然后将文件拷贝到生成的文件目录下面，并创建相应的服务自启动项，如下所示：

1. 拷贝完成之后，如下所示：

1. 创建的服务自启动项，如下所示：

1. 与远程服务器通信，通过不同的指令执行不同的操作，其中包含文件进程管理，上载下载等功能，还有一些扩展模块的功能，如下所示：

该部分功能代码与此前变种功能代码基本一致，就不一一列举了。

威胁情报

总结结尾

去年使用“银狐”黑客工具的多个黑产团伙非常活跃，今年这些黑产团伙仍然非常活跃，而且仍然在不断的更新自己的攻击样本，采用各种免杀方式，逃避安全厂商的检测，免杀对抗手法一直在升级。