第192期安全事件
2019/07/15-2019/07/21
| 英文標(biāo)題 | Anti-Debugging Techniques from a Complex Visual Basic Packer |
| 中文標(biāo)題 | Hawkeye 活動(dòng)使用 Visual Basic 打包器反調(diào)試技術(shù) |
| 作者及單位 | ZLAB-YOROI |
| 內(nèi)容概述 |
Hawkeye Keylogger 是一個(gè)在暗網(wǎng)上出售的信息竊取惡意軟件,自 2013 年以來,其不斷增加新的功能和技術(shù)。近期攻擊 者使用了 Visual Basic 打包程序強(qiáng)制執(zhí)行的反調(diào)試技術(shù)。投遞文件為 ISO 映像,具有較低的 AV 檢測率,其內(nèi)部有一個(gè) PE 文件偽裝的 bat 文件。PE 文件使用 VB 5.0 編寫,用于保護(hù)惡意軟件核心部分,并使分析難度加大。在新分配區(qū)域內(nèi)的上下 文切換之后,惡意軟件采用“ GetTickCount() ”反調(diào)試技術(shù)。其會(huì)檢索自系統(tǒng)啟動(dòng)以來經(jīng)過的時(shí)間,以毫秒計(jì)算,如果 高于預(yù)設(shè)閾值,惡意軟件會(huì)終止執(zhí)行。 |
| 新聞鏈接 |
https://blog.yoroi.company/research/anti-debugging-techniques-from-a-complex-visual-basic-packer/ |