Clever Geek Handbook

調査:ハッカーがアンチウイルスをバイパスする方法を教えてください

独自のマルウェアの作成には多くのリソースが必要であるため、多くのハッカーグループは、攻撃に大規模で、多くの場合公開されているマルウェアを使用しています。広く使用されると、必然的にそのようなツールがウイルス対策会社の注目を集め、その有効性が低下するという事実につながります。





この問題を解決するために、ハッカーはパッケージング、暗号化、およびコード変更の手法を使用します。このような手法は、多くの場合、「クリプター」または単に「パッカー」という個別のツールによって実装されます。この記事では、RTMバンキングトロイの木馬を例として使用して、サイバー犯罪者が使用できる「パッカー」と、これらの「パッカー」がマルウェア検出をどのように複雑にするかを見ていきます。





この調査の完全版は、こちらから入手できます





サービスとしてのパッカー

RTMの配布の背後にあるハッカーグループは、2020年の終わりまで、悪意のある添付ファイルを含む大量のフィッシングメールを定期的に実行していました。このプロセスは、明らかに、自動的に行われました。





これらの添付ファイルにはそれぞれ大幅に異なるファイルが含まれていましたが、最終的なペイロードは実質的に変更されていませんでした。





サンプルRTMアーカイブ
RTM

— «». , RTM, «», 2020 .





- , . , , packer-as-a-service. , . .





Rex3Packer

RTM, , 2019 . , , — 2020 .





RTMフィッシングメール、2021年1月
RTM, 2021

- , : (recursion), (reverse) PE- (reflection) — Rex3Packer.





:





  1. VirtualAlloc , .





  2. ( , .text).





  3. .





  4. PE- ( ). ebx. . , , PE- , .





  5. .





  6. VirtualProtect RWX PE-.





  7. .





  8. .





  9. PE .





  10. — PE-. PE-, .





. : , .





16 , 4 4 :





  • ,





  • (PE-),





  • (*), ,





  • (1, 2, 4).





:





  1. ( , 10011000 00011001).





  2. (1, 2, 4), N = 9, 5, 3 . — (N – 1) ( 8, 4, 2).





  3. N-1 : . , 00000001, 00010001 01010101 . . OR , .





, 4 . .





モード4で元のバイトを取得するためのスキーム
4

4.  PE-, (*) . , , . (*) .





, :





  • WinAPI. , , , .





                WinAPI関数の呼び出し例
                WinAPI

  • — ( ), .





再帰呼び出しのある関数(難読化なしのオプション)
( )

  • . , .





RTM, Rex3Packer , .

SHA256

Phobos Ransomware

6e9c9b72d1bdb993184c7aa05d961e706a57b3becf151ca4f883a80a07fdd955

Zeppelin Ransomware

8d44fdbedd0ec9ae59fad78bdb12d15d6903470eb1046b45c227193b233adda6

Racoon Stealer

3be91458baa365febafb6b33283b9e1d7e53291de9fec9d3050cd32d98b7a039

KPOT Stealer

9b6af2502547bbf9a64ccfb8889ee25566322da38e9e0ccb86b0e6131a67df1e

Predator The Thief

d1060835793f01d1e137ad92e4e38ef2596f20b26da3d12abcc8372158764a8f

QakBot

18cc92453936d1267e790c489c419802403bb9544275b4a18f3472d2fe6f5dea

Nemty, Pony, Amadey.  





HellowinPacker

2020 RTM — HellowinPacker, 2021 . . , .





異なる構造の2つのコピーのコードの比較

. . .





同じ構造の2つのコピーのコードの比較

, Rex3Packer, HellowinPacker . , , . , , — .





, — HKEY_CLASSES_ROOT\Interface\{b196b287-bab4-101a-b69c-00aa00341d07} ( ) (Default). .





GUID .





, .





, (, ). VirtualAlloc RWX. X . Y .





HellowinPackerデータコピースキーム
HellowinPacker

4 :





  • (DWORD),





  • ,





  • xor , Z.





Rex3Packer, HellowinPacker WinAPI, . . , .





パッケージ化されたライブラリの1つのエントリポイント

WinAPI imphash.





: ( ). WinAPI, (, 0 ).





HellowinPacker 2014 . . :

SHA256

Cerber Ransomware

1e8b814a4bd850fc21690a66159a742bfcec212ccab3c3153a2c54c88c83ed9d

ZLoader

44ede6e1b9be1c013f13d82645f7a9cff7d92b267778f19b46aa5c1f7fa3c10b

Dridex

f5dfbb67b582a58e86db314cc99924502d52ccc306a646da25f5f2529b7bff16

Bunitu

54ff90a4b9d4f6bb2808476983c1a902d7d20fc0348a61c79ee2a9e123054cce

QakBot

c2482679c665dbec35164aba7554000817139035dc12efc9e936790ca49e7854

, . , («») . . : .





, , . : . . , , (, PT Sandbox) . , . , — , PT Network Attack Discovery.





:







More articles:


All Articles