delphi 卸载远程进程中的dll_FIN7新手段被曝光,win合法进程被滥用

最新推荐文章于 2023-10-19 10:00:34 发布
最新推荐文章于 2023-10-19 10:00:34 发布
阅读量492 收藏
点赞数
文章标签: delphi 卸载远程进程中的dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39574868/article/details/112112120
版权
这篇博客揭示了FIN7犯罪团伙如何滥用合法的FaceFodUninstaller.exe进程,通过DLL搜索顺序劫持在Windows系统中加载恶意WinBio.dll,实现持久化并执行Carbanak后门。攻击者通过创建临时日志文件,使用COM对象访问任务计划程序建立持久性,并对每个感染的计算机定制解密密钥,防止分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

58ba7695cf1e9513022230620e21f3a0.gif

几个月前,一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术(特别是BOOSTWRITE)中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较,发现它们具有通用的代码库,并带有Carbanak后门。

Windows操作系统使用一种通用方法来查找要加载到程序中的所需DLL。攻击者可能使用此行为来导致程序加载恶意DLL,该技术被称为DLL搜索顺序劫持(或二进制植入)。

滥用的应用程序是FaceFodUninstaller.exe。它从Windows 10 RS4(1803)开始在全新OS安装中的“%WINDR%\ System32 \ WinBioPlugIns”文件夹中。该可执行文件依赖于winbio.dll,该文件通常在父目录(“%WINDR%\ System32”)中。

e460c77063a3924635557bbd8677a5c3.png

43758dde05449b304416fd9aad9edadd.png

此可执行文件在攻击者眼中具有吸引力的是,它是从名为FODCleanupTask的内置计划任务启动,从而最大程度地减少了计算机的占用空间,并进一步降低了被检测机会。

加载程序的文件名为WinBio.dll(请注意大写字母),并由攻击者放置在同一文件夹(“ WinBioPlugIns”)中,从而利用默认的DLL搜索顺序,因为文件路径位于%WINDIR%下,这意味着为了植入它,攻击者需要在受害者的计算机上拥有更高的特权,例如管理员或SYSTEM帐户。

 6766e86dcc8b07b33e8cb91ed3409090.png

如BOOSTWRITE一样,此加载程序也是用C++开发的。它仅导出一个函数,即FaceFodUninstaller.exe导入所需的。

样本针对64位OS,并于2019年3月和7月进行了编译;.BOOSTWRITE针对32位系统,并于2019年5月进行了编译(并签名)。

启动DLL时,它将检查进程的命令行参数数量,以决定如何采取行动。由任务计划程序启动可执行文件时,它没有命令行参数,并且恶意软件的工作方式如下:

在%TEMP%\〜bio 创建一个日志文件。日志是纯文本的,未经加密。

再次以子进程的形式启动,该进程带有由32随机大写字母组成的命令行参数。

通过使用COM对象访问任务计划程序来建立持久性。该恶意软件可确保任务已启用,并在Windows启动后30秒添加触发器以启动该任务,并且不等待空闲状态。

调用WinBioGetEnrolledFactors时,恶意软件会加载原始的winbio.dll并调用原始功能。

工作进程在内存中加载并执行有效负载DLL。首先从%TEMP%\〜wrk 创建日志文件开始。然后,以这种方式基于环境变量创建命名的互斥锁,从而确保当前仅运行单个实例: 

 058476ff50bedf217e7b8ace98a66dd9.png

BIOLOAD还具有嵌入的加密有效负载DLL。与BOOSTWRITE相比,它不支持多个有效负载。此外,要解密有效负载,它使用简单的XOR解密而不是ChaCha密码,也不访问远程服务器以获取密钥。取而代之的是,BIOLOAD是针对其感染的每台计算机量身定制的,因为它依赖于计算机名来正确导出解密密钥。

密钥的长度为16个字节,并且也嵌入在加载程序中。使用计算机名称的CRC32校验和作为种子,密钥的一部分会被密钥上的MurmurHash3结果覆盖。当相关上下文丢失时,这会阻止沙箱检测,并阻止研究人员分析有效负载。

 a8e1761e812fd1dbef18cc4bb0672d2e.png

PE加载程序的实现与BOOSTWRITE中的实现相同。日志文件名的格式也相似。

如前所述,该负载携带的有效载荷是Carbanak。根据时间戳记,从BIOLOAD提取的样本是后门的更新版本,日期为2019年1月和4月。

一个值得注意的附加功能是,它可以检查计算机上是否除了Kaspersky,AVG和TrendMicro之外还运行了另一个防病毒(AV)。但是,与先前检测到的AV不同,该结果对后门的操作没有影响。

这是FaceFodUninstaller.exe被攻击者滥用的第一个案例,共享的代码库将证据直接指向FIN7组织。时间戳以及更简单的功能表明BIOLOAD是BOOSTWRITE的先前版本。

相应的IOCs

WinBio.dll (scrubbed key and payload) SHA256

7bdae0dfc37cb5561a89a0b337b180ac6a139250bd5247292f470830bd96dda7

c1c68454e82d79e75fefad33e5acbb496bbc3f5056dfa26aaf1f142cee1af372

Carbanak SHA256

77a6fbd4799a8468004f49f5929352336f131ad83c92484b052a2eb120ebaf9a

42d3cf75497a724e9a9323855e0051971816915fc7eb9f0426b5a23115a3bdcb    

参考:

https://www.fortinet.com/blog/threat-research/bioload-fin7-boostwrite-lost-twin.html

5f5308f0ead29007dfc73cbf868d6318.png

ubuntu中解决进程的TIME_WAIT和FIN_WAIT2链接状态
qq_40907977的博客
11-12 2425
环境 :Ubuntu 16.04 LTS 解决进程的time_wait状态 查看进程连接状态 #netstat -an|awk ‘/tcp/ {print $6}’|sort|uniq -c 16 CLOSING 130 ESTABLISHED 298 FIN_WAIT1 13 FIN_WAIT2 9 LAST_ACK 7 LISTEN 103 SYN_RECV 5204 TIME_WAIT 状...
为什么kill进程后socket一直处于FIN_WAIT_1状态
阿里云云栖号
06-05 1571
本文介绍一个因为conntrack内核参数设置和iptables规则设置的原因导致TCP连接不能正常关闭(socket一直处于FIN_WAIT_1状态)的案例,并介绍conntrack相关代码在conntrack表项超时后对报文的处理逻辑。 案例现象 问题的现象: ECS上有一个进程,建立了到另一个服务器的socket连接。 kill掉进程,发现tcpdump抓不到FIN包发出,导致服务...
如何安全的将远程DLL卸载,不会让程序崩溃
Qensq的博客
07-19 1661
卸载DLL 很多人是从外部卸载的,但是可能会造成程序的崩溃和异常,需要卸载的方式最好是放在内部操作。 通过执行DLL内部方法去卸载DLL本身,代码如下: VOID unDll() { HMODULE hmodel = NULL; GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,(LPCSTR) &unDll, &a...
如何卸载其它进程中加载的指定DLL
tnswy的专栏
04-16 1056
如何卸载其它进程中加载的指定DLL2008-02-17 12:46#include void __fastcall UnLoadDll(String str_proce, String str_dllname) { AnsiString tmpstr=""; PROCESSENTRY32 pinfo; pinfo.dwSize = sizeof(pinfo); DWORD
卸载其他进程中的dll模块
Koma的主页
01-07 2469
啥也不说了,贴代码:#include "stdafx.h"#define MAX_MODULE_NAME_LEN 16// 传入到远程线程中的参数结构定义typedef struct tagThreadParam { DWORD dwFreeLibrary; // FreeLibrary 地址 DWORD dwGetMo
DLL卸载(创建远程线程卸载强制注入的dll)
m0_51713041的博客
04-13 1363
DLL卸载 实际上我觉得应该改名叫:创建远程线程卸载强制注入的dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要卸载DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
操作系统之进程管理:20、死锁的检测和解除
千寻瀑
10-07 514
20、死锁的检测和解除思维导图死锁检测死锁解除 思维导图 死锁检测 P1、P2:进程;R1、R2:某一类资源集合 绿边:已经被使用掉的资源个数;蓝边:进程请求的资源个数 由上图可知: P1使用了2个R1资源,P2使用了1个R1资源;R1剩余0个资源; 此时,P2请求一个R1资源,由于R1资源不足,P2阻塞; P2使用了一个R1资源、1个R2资源;R2资源剩余1个;R1请求1个R2资源;资源足够;P1运行; P1运行后,释放2个R1资源、1个R2资源;P2运行 安全序列:P1–P2 死锁解除
解决Linux服务器中TCP的FIN_WAIT2,CLOSE_WAIT状态连接过多的问题
HelloBiu的博客
12-29 7824
解决Linux服务器中TCP的FIN_WAIT2,CLOSE_WAIT状态连接过多的问题
net.ipv4.tcp_fin_timeout的错误理解
weixin_30367543的博客
09-18 3083
按照文档的说法,貌似长久以来我对于tcp_fin_timeout的理解都是错误的 先备份在这里,再验证 提高Linux应对短连接的负载能力 在存在大量短连接的情况下,Linux的TCP栈一般都会生成大量的 TIME_WAIT 状态的socket。你可以用下面的命令看到: nets...
linux进程无报错挂掉,总结:Linux中socket常见错误分析
weixin_26949673的博客
05-03 1316
一、连接过程出错分析(1)如果客户机TCP协议没有接收到对它的SYN数据段的确认,函数以错误返回,错误类型为ETIMEOUT。通常TCP协议在发送SYN数据段失败之后,会多次发送SYN数据段,在所有的发送都高中失败之后,函数以错误返回。(2)如果远程TCP协议返回一个RST数据段,函数立即以错误返回,错误类型为ECONNREFUSED。当远程机器在SYN数据段指定的目的端口号处没有服务进程在等待连...
dll窗体的加载及卸载
10-24
动态加载dll中的窗体到主窗口的任意地方,加载的dll窗口鼠标不受限制。 在主窗体任意卸载dll窗体。 在博览众家之长后制作,全部源代码分享,给初学者提供条捷径。在berlin下编译。
Delphi安装和卸载钩子
05-18
摘要:Delphi源码,系统相关,钩子  Delphi安装和卸载钩子的源码实例,包括有一个钩子类的DLL源文件,主程序调用这个钩子DLL,并安装钩子与卸载的实例,可学习下如何调用一个DLL库文件。
劫持 exe 到本软件里
06-06
delphi 实现 劫持 exe 到本软件里 。劫持窗体,winAPI
Delphi+内联汇编,USP10劫持技术经典之作编译后7.5k
09-17
代码采用delphi内联汇编的编写方式,DLL劫持技术的经典之作,并且运用DELPHI mini编译技术,完整功能的dll不超过8k,一切最精简最高效的delphi编程技术,展现delphi汇编编程的魅力。
显式加载卸载delphi写的dll之内存泄漏(4KB)问题
Avan_Lau的专栏
09-21 2256
<br />Memory Lost And Found... And Released <br /><br />by Roy Nelson <br /><br />This article has been long in the making: it all started about two years ago, after a conversation with a previous colleague. The conversation centred on the fact that they w
delphi完美的线程注入和卸载
q304929130的专栏
01-12 728
/***************************************卸载dll**************************************//***********************************线程DLL***********************************//**********************************调整进程权限*******************************
delphi控件的安装和卸载方法(转)
javazhuanzai的专栏
02-01 770
====================================================== 注:本文源代码点此下载 ====================================================== 基本安装 4、假设以上install按钮为失效的话, 普通是控件的安装目录不在delphi的lib目录中, 有两种方法可以解决: 1、反安装的
系统提示找不到winbio.dll文件出现错误怎么办
最新发布
amio555的专栏
10-19 534
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个winbio.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现winbio.dll丢失要怎么解决?
net.ipv4.tcp_fin_timeout参数在Linux 7 和 Linux 8 中有区别吗
06-01
是的,Linux 7和Linux 8中的net.ipv4.tcp_fin_timeout参数有所不同。在Linux 7中,默认值为60秒,而在Linux 8中,默认值为30秒。这是因为Linux 8中针对一些性能和安全方面的考虑进行了优化,通过缩小TCP连接关闭后等待释放相关资源的时间,可以更快地回收系统资源,提高系统的吞吐量和性能。但需要注意的是,过小的超时时间可能会导致连接被错误地关闭,因此需要根据具体的应用场景进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值