46期報告匯總
安天發布《一種針對沙箱檢測的逃逸技術分析》
近日,安天追影小組在產品樣本分析測試中,發現了某一樣本會出現異常崩潰的現象,而這種現象會導致追影威脅分析系統無法對其進行監測。通過逆向分析,追影小組發現這是因為該樣本在調用OpenServiceA這個API的過程中,先自寫了一部分匯編代碼,然后再調用剩余的代碼,導致了其在追影中執行時會發生異常,而在普通環境中卻可以正常運行的情況。
追影威脅分析系統對樣本的監測分析主要依賴于HOOK一些關鍵的API,而大多數API的前五個字節的作用是打開棧幀。經分析,該樣本在調用OpenServiceA時,會先自寫并執行API里的一部分匯編代碼,然后直接跳轉到API自寫匯編代碼的后面去執行,這樣整個API所屬代碼都可以得到完整執行,也就不會發生執行錯誤,類似于代碼分塊執行。但是,當使用mhook庫中的功能函數對API的前5個字節進行HOOK的時候,樣本的執行流就會進入到HOOK的API的前五個字節的內部,執行結構就會被打亂,程序也會出現異常,導致提前退出。這種方法不僅僅影響OpenServiceA這一個API,如果攻擊者精心構造,甚至可以使所有HOOK的API都可以受到影響。
針對以上情況,追影小組提出兩種解決方法:
1.把HOOK點移到更底層:即將HOOK
ntdll里的一些API直接在RING0進行HOOK。
2.更改HOOK點的位置:即從API頭部開始,向后移動幾個字節后再選擇在合適位置開始HOOK。
這兩種方法都可以有效地解決該樣本導致的不能正常HOOK的問題。
網絡安全就是一場攻防博弈,隨著沙箱技術越來越成熟,攻擊者也開始注重在惡意軟件里運用反沙箱技術來對抗檢測。對此,追影威脅分析系統會持續提高對威脅的檢出能力。目前,經過安天追影小組的研究,對于上述樣本,追影威脅分析系統已經可以采取其他方式對其進行識別,從而達到檢出效果。