火绒安全软件

标题: Shiz病毒新变种出现 多种对抗窃取信息 [打印本页]

作者: huoronganquan    时间: 2024-1-11 17:13
标题: Shiz病毒新变种出现 多种对抗窃取信息
本帖最后由 huoronganquan 于 2024-1-11 18:05 编辑

近期,火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播。Shiz病毒主要针对国外用户群体,在被激活后能够窃取用户电脑上的敏感信息,并可以执行其他恶意操作。不仅如此,当受害者访问杀毒软件网址时,还会被劫持到google的网址,对用户构成较大干扰。

病毒运行后,首先,会使用对抗手段检测虚拟机环境和杀毒软件,捕获的变种样本使用了多种对抗手段,除了采用shellcode分块执行外,还通过PUSH RET来混淆IDA反编译的调用流等手段对抗杀软;随后,将恶意模块注入到系统进程中执行,进行数据窃取、屏幕截图、DNS劫持等恶意操作。该病毒执行流程,如下图所示:
Image-0.png
病毒执行流程图

目前,火绒安全产品可对上述病毒进行拦截查杀,请火绒用户及时更新病毒库以进行防御。火绒工程师建议大家,安装并定期更新杀毒软件、防火墙和安全补丁,确保始终保持最新的安全防护。
Image-1.png
查杀图
一、样本分析

混淆和对抗手段
病毒启动之后由最外层的Loader来进行加载,在最外层的Loader中具有多种混淆方式,通过执行大量垃圾代码来混淆安全人员的分析,还会无意义地调用冷门API这种方式,检测虚拟行为沙盒环境的真实性,相关代码,如下图所示:
Image-2.png
混淆代码

为了防止安全人员分析,该病毒在最外层的Loader中还使用PUSH + RET的方式来进行函数调用,这样可以对IDA的反编译功能进行混淆,如下图所示:
Image-3.png
PUSH RET混淆

通过解密执行shellcode,相关代码,如下图所示:
Image-4.png
执行shellcode

在shellcode执行过程中,它被分成多个块顺序执行。执行完一个块后,执行过的块会被加密,然后再解密并执行下一个块。相关代码,如下图所示:
Image-5.png
shellcode 加解密执行

shellcode主要负责从资源中获取内层模块,解密并加载到内存中,相关代码,如下图所示:
Image-6.png
内存加载内层模块

在内层模块中会检测虚拟机环境,相关代码,如下图所示:
Image-7.png
检测虚拟机环境

还通过调用Windows防火墙API将自身添加到Windows防火墙的授权应用程序列表中,相关代码,如下图所示:
Image-8.png
添加到防火墙白名单

该模块还会将自身拷贝到添加到“ C:\Windows\apppatch”目录中,并添加开机自启动中进行持久化操作,相关代码,如下图所示:
Image-9.png
添加自启动项

该模块执行初始化操作之后,会将shellcode注入到系统进程中执行,相关代码,如下图所示:
Image-10.png
注入系统进程执行恶意模块

shellcode主要负责将最终的恶意模块进行内存加载,相关代码,如下图所示:
Image-11.png
shellcode

内层恶意模块
该恶意模块使用DGA域名生成算法来动态产生大量的域名,这样做的好处是可以避开基于静态黑名单的防御系统,因为这些系统通常是通过拦截已知的恶意域名来阻止恶意流量的,黑客可以随时注册其中的域名来使用,这样传统的基于签名的防御方法往往无法及时响应这种动态生成的域名,从而使得恶意软件能够持续与C2服务器进行通信,即使其中一些域名被识别并加入黑名单。DGA算法,如下图所示:
Image-12.png
使用自定义DGA算法生成域名

DGA算法计算出的部分域名列表,分析过程中,暂未发现存活的C&C服务器,不排除后续这些域名会被注册,如下图所示:
Image-13.png
部分域名列表

通过DGA域名算法,计算出C&C服务器之后,会连接C&C服务器,执行C&C服务器下发的命令,相关代码,如下图所示:
Image-14.png
指令C&C服务器下发的命令
load命令
从C&C服务器下载恶意模块并执行,相关代码,如下图所示:
Image-15.png
load命令

kill_os命令
清空磁盘MBR和删除关键注册表项,导致系统出错,相关代码,如下图所示:
Image-16.png
kill_os命令

该恶意模块会将自身注入到其他进程中如:系统进程、浏览器进程、svchost.exe(DNS缓存服务器)等进程中来执行各种恶意代码,相关代码,如下图所示:
Image-17.png
注入其他进程中

如果发现自身进程名为svchost.exe就会HOOK DNS相关的函数来进行DNS劫持,相关代码,如下图所示:
Image-18.png
DNS劫持

以HOOK DnsQuery_A函数为例,当受害者访问杀毒软件的网址时会被劫持到google的网址,相关代码,如下图所示:
Image-19.png
劫持杀毒软件域名到google

通过HOOK  GetClipboardData函数来监控受害者剪贴板数据,相关代码,如下图所示:
Image-20.png
监控剪贴板数据

通过HOOK多个用于处理签名文件的第三方库,如果发现签名文件就会上传至C&C服务器,相关代码,如下图所示:
Image-21.png
窃取签名文件

通过HOOK Winininet.dll来记录受害者电脑中访问的各种网页信息,相关代码,如下图所示:
Image-22.png
HOOK Wininet.dll

同时还会对这些信息进行过滤,如果包含指定网站的登录凭证等信息,会被记录并上传至C&C服务器中,以HttpSendRequestW函数为例,相关代码,如下图所示:
Image-23.png
窃取登录凭证

还会通过HOOK 消息相关的函数来进行键盘记录,相关代码,如下图所示:
Image-24.png
HOOK 消息相关的函数

以HOOK_TranslateMessage函数为例,相关代码,如下图所示:
Image-25.png
HOOK_TranslateMessage

该病毒还会获取受害者的屏幕截图,相关代码,如下图所示:
Image-26.png
获取屏幕截图

二、附录
HASH:
Image-27.png


作者: jdlzzz    时间: 2024-1-11 17:32
想了解下这个病毒一般是通过什么途径传播的
作者: 化悲痛为力量    时间: 2024-1-11 19:50
jdlzzz 发表于 2024-1-11 17:32
想了解下这个病毒一般是通过什么途径传播的

火绒威胁情报系统监测到Shiz病毒的新变种正在快速传播




欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4