本文详细分析了一种使用LOLBins(Living-Off-the-LandBinaries)免杀技术的病毒木马样本,探讨了LOLBins的选取标准和免杀原理。通过逆向工程,揭示了如何利用合法程序(如LiveUpdate.exe)进行恶意活动,同时展示了如何通过免杀测试确保其在杀毒软件中的隐蔽性。文章指出,LOLBins技术在APT攻击中常见,对杀毒软件提出了新的查杀挑战。
一、前言
自病毒木马诞生起,杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀,到现在的人工智能查杀,杀毒软件的查杀技术也是越来越复杂。但是病毒木马却仍然层出不,这是因为大部分病毒木马使用了免杀技术。
免杀技术全称为反杀毒技术(Anti Anti-
Virus),简称“免杀”,指的是一种能使病毒木马免于被杀毒软件查杀的技术。不管是钓鱼攻击,还是Web渗透,对使用的病毒木马进行免杀处理,都是必不可少的操作。
在某次网络攻防演练期间,我们捕获了一个免杀样本,主要使用了“LOLBins”免杀技术。 这篇文章将对该样本进行分析,以此揭开此类免杀技术的神秘面纱。
二、LOLBins概述
LOLBins,全称为“Living-Off-the-Land Binaries”,这个概念最初在2013年DerbyCon黑客大会由Christopher
Campbell和Matt Graeber创造,最终由Philip
Goh提出。指的是在目标操作系统上运行受信任的合法进程来执行恶意活动,例如横向移动、权限提升和远程控制等。
通俗来讲,就是大家所熟悉的“白名单”免杀技术。比如常见的Powershell.exe、Certutil.exe和Mshta.exe等程序,都属于LOLBins范畴。在一些APT攻击中,也可以看到使用LOLBins免杀技术进行攻击的活动。比如,海莲花APT组织曾使用微软操作系统自带的程序MSBuild.exe运行远程控制木马,达到免杀的效果。为了达到比较好的免杀效果,LOLBins的选取是有一定要求的。一般来说,需要包含如下特征:
-
带有Microsoft签名或者第三方签名的程序。
-
具有可被用于利用的功能(比如上传、下载和代码执行等)。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
