【网络安全】DRIDEX木马巧用VEH混淆API调用流程

最新推荐文章于 2022-07-30 15:49:01 发布
原创 最新推荐文章于 2022-07-30 15:49:01 发布 · 4.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #ide #安全 #网络安全

本文分析了DRIDEX木马如何利用向量化异常处理(VEH)机制混淆API函数调用,以此对抗动态静态分析。通过插入int3+retn指令,DRIDEX在反调试的同时,利用VEH完成隐蔽的函数调用,这种技术在防御规避上具有一定的效果。然而,其简单的异常处理流程也提供了研究者恢复原始逻辑的可能性。

情报背景

DRIDEX是自2014年起活动至今的著名恶意银行木马家族,通常以OFFICE文档的方式进行文档钓鱼攻击。0xCERT的研究人员将其描述为精于防御规避的信息与凭据窃取恶意软件,利用众多C&C服务器令针对其的网络·封锁无能为力。DRIDEX在其历史行动中曾多次运用高级防御规避技术隐匿其恶意行为,其v4版本是第一个使用AtomBombing进程注入技术的恶意软件。

学习资料

而本文中将对其近期样本中利用向量化异常处理(VEH)机制混淆其API函数调用的手法进行分析研判,该手法对于动态静态分析均有较好的对抗效果。
在这里插入图片描述

攻击技术分析

亮点:利用VEH进行API调用混淆

关于向量化异常处理(VEH)

向量化异常处理(VEH)是结构化异常处理(SEH)的扩展,VEH的优先级先于SEH,且不依赖栈结构,而是以双链表的形式保存在堆中。应用程序可通过AddVectoredContinueHandler函数注册异常处理函数来监视和处理程序所有的异常。当程序执行过程中发生异常,该异常处理函数将被首先调用以处理异常。

PVOID AddVectoredContinueHandler(
ULONG                       First
最低0.47元/天 解锁文章
权限控制WAF绕过之木马混淆免杀
m0_61506558的博客
10-03 869
当我们把有侵入性的代码写进去时,通过指纹信息,从而招到WAF的拦截,为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。(一)变量覆盖我们就以为例,禁止使用简单的变量传递,大多数waf具有变量追踪,必需要引入变量覆盖传递参数。?
欺骗调用堆栈以混淆 EDR
最新发布
技术超强的网络安全平台
08-28 1201
从这个调用堆栈无法判断对 NtOpenProcess/OpenProcess 的调用实际上源自从未备份的内存中运行的代码,并且表面上的线程看起来是真实的(尽管 cmd.exe 是人为的并且明显可疑)。由于调用源自未备份的内存,SysMon 将调用堆栈中的最后一项记录为“未知”(例如,堆栈遍历中的最后一个返回地址属于浮动/未备份的代码,而不是合法加载的模块),因此显然是可疑的。在 X64 中,事情变得更加复杂,因为 Rbp 不再用作帧指针,因此,遗憾的是,上面使用的方法将不起作用。,并从那里进行交叉引用。
WAF绕过-木马混淆免杀姿势
告白的博客
08-27 1053
0x00 简介 为了获取对方的控制权,通常会采取使用代码木马执行,使用shell工具连接,但是往往注入代码会被waf拦截,无法注入也就无法获取shell连接,就算绕过代码检测之后,执行的行为也可能被waf设备拦截,导致无法执行shell操作,下面从代码的注入绕过,与代码注入后执行操作绕过总方法,下面总结几种最新的绕过姿势。 常见脚本: PHP, JSP, ASP, ASPX, Pytohn… 常见shell工具:中国菜刀, 蚂蚁宝剑, 冰蝎 比较推荐使用冰蝎适合后渗透,菜刀的使用比较局限也没有更新了, 菜
windows XP下的向量异常处理(Vectored Exception Handling)
Matrix_Designer的专栏
09-26 1445
<br />原作:     Matt Pietrek<br />                                翻译改写: by Hume/CVC.GB<br />首先回顾一下(SEH)结构化异常处理,结构化异常处理用EXCEPTION_RETGISTRATION结构链起来的异常处理系统,那么当异常发生时,系统会遍历这个链,首先是链最前面的,系统会问:这个异常你处理吗?如果回答YES(通过返回EXCEPTION_CONTINUE_EXECUTION)的话,那系统就把控制权交给他,然后由其
向量化异常处理
mslieng1011的博客
11-05 1383
VEH : AddVectoredExceptionHandler(0,回调函数) LONG vehExceptionHandler(EXCEPTION_POINTERS* Exceptioninfo) VCH : AddVectoredContinueHandler(0,回调函数) LONG vchContinueHandler(EXCEPTION_POINTERS* Exception
常用的Win API函数
Yatere的天平秤
05-15 750
<br /><br />1、限制程序功能函数 <br />EnableMenuItem 允许、禁止或变灰指定的菜单条目 <br />EnableWindow 允许或禁止鼠标键盘控制指定窗口条目(禁止时菜单变灰) <br />2、对话框函数 <br />CreateDialog 从资源模板建立一非模态对话窗 <br />CreateDialogParam 从资源模板建立一非模态对话窗 <br />CreateDialogIndirect 从内存模板建立一非模态对话窗 <br />CreateDialogI
精选资源
利用硬断+VEH实现APIHOOK源码
06-06
由于E写的可能有点特殊错误 所以附上C源码C编译的DLL一份 DLL要用动态调用 E不支持Cdecl。Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 。代码里有一点点注释将就着看吧 原理也很简单 ...
精选资源
利用硬断+VEH实现APIHOOK源码-易语言
06-12
由于E写的可能有点特殊错误 所以附上C源码C编译的DLL一份 DLL要用动态调用 E不支持Cdecl Context->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以...
e语言-利用硬断 VEH实现APIHOOK
08-23
所以附上C源码C编译的DLL一份 DLL要用动态调用 E不支持CdeclContext->Dr7是一个很好玩的东东 还有很多好玩的用法详细的请自行百度 代码里有一点点注释将就着看吧 原理也很简单 可以指定HOOK某线程调用API 大牛...
木马后门常用到的API
冷风
06-04 3615
用来分析木马后的功能,简单整理如下:1.服务管理OpenSCManagerOpenServiceEnumServicesStatusQueryServiceConfigControlService2.屏幕管理CreateDCGetDeviceCapsCreateCompatibleBitmapCreateCompatibleDCOpenWindowStationOpenDesktop3.命令控制C
VEHVCH科普
mqzzqian的专栏
06-08 5153
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1371 作者:mengwuji 很久没发帖子了,痛苦的失眠,就顺便来讲讲VEH这玩意儿。 一般,再好的程序员,也不能说自己写出的代码是没bug的、执行后不会产生异常。所以呢,好的程序员总会在可能认为会出现异常问题的那段代码加
Windows核心编程笔记(十九) SEH结构化异常处理_未处理异常及向量化异常
春暖花开
02-13 3770
UnhandledExceptionFilter函数详解  BaseProcessStart伪代码(Kernel32内部) void BaseProcessStart(PVOID lpfnEntryPoint) //参数为线程函数的入口地址 { DWORD retValue; DWORD currentESP; DWORD exceptionCode;
Windows异常处理
liaozhilong88的博客
01-18 884
异常机制,就是为了让计算机能够更好的处理程序运行期间产生的错误,从编程的角度来看,能够将错误的处理与程序的逻辑分隔开。使得我们可以集中精力开发关键功能,而把程序可能出现的异常统一管理。 Windows提供了异常处理的机制,使得你有机会挽救自己即将崩溃的程序,大体上来说它提供了以下处理异常的机制: SEH-结构化异常处理 VEH-向量化异常处理 VCH-向量化异常处...
Windows XP中的新型向量化异常处理
06-11 8545
 到现在为止我已在Win32®平台上工作八年有余,在这期间里我积累了一些我所喜欢使用的Win32功能(从API层面上来说)。它们可以让我的编程生活更轻松,同时也让我更容易写出比较有用的工具。当我安装完Windows XPBeta(以前代号为“Whistler”)时,并没有指望能够看到许多新的API,结果却惊喜地发现我错了!在本月的专栏中,我就要讲述这些新增功能其中之一——向量化
java的异常笔记
Liar_27的博客
05-25 694
抛异常的一些规范: 1、catch里面一定要至少写一些标记,便于异常排查 2、catch中抛出记录最好只写一种(throw log) 3、抛出自定义异常时,除了字符的信息外,要带着具体的异常栈(也就是e,便于错误排查) 4、关闭资源不要放在try块中,可以放到finally块中,JDK7之后可以将要监控的代码放入try后的括号中,jdk会自动关闭资源 5、抛的异常尽可能写的具体 6、自定义异常加一些注释 7、多个catch块要优先把更具体的异常放在最上面,因为捕获到一个异常后后面就不执行了 8、不要捕
逆向入门-反调试
AppWhite_Star的博客
07-30 2692
逆向基础-反调试专题
26种对付反调试的方法
weixin_34235371的博客
05-15 4742
2019独角兽企业重金招聘Python工程师标准>>> ...
原神反调试分析
热门推荐
u011442768的博客
10-21 1万+
打开CE,打开原神启动器。 至此,游戏未加载驱动。启动器可以被CE正常读写。 打开原神,CE中选择YuanShen.exe,发现原神并不能被读写。 尝试分析不能读写的原因。 CE调用的读取内存函数是NtReadVirtualMemory 猜测有三种可能 1.NtReadVirtualMemory被HOOK 2.ObCallBack 3.infinityhook 第一种情况因为X64系统PatchGuard的存在排除。当然VT也是有可能的,现在先不考虑。 第二种情况是最有可能的。 第三种情况感觉不大靠谱。
硬断+VEH技术实现API钩子源码详解
综上所述,该文件所提供的是一种在特定Windows操作系统上实现API HOOK的方法,它结合了硬断技术VEH机制,通过C语言编写源码,并编译为DLL以便于动态调用使用。API HOOK技术广泛应用于软件开发、游戏开发、安全...
评论 8
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值