Clever Geek Handbook

Pesquisa: quais métodos de contornar antivírus são usados ​​por hackers

A criação de malware exclusivo requer muitos recursos, portanto, muitos grupos de hackers usam malware massivo e geralmente disponível publicamente em seus ataques. O uso generalizado inevitavelmente leva ao fato de que tal ferramenta entra no radar das empresas de antivírus e sua eficácia diminui.





Para resolver esse problema, os hackers usam técnicas de empacotamento, criptografia e mutação de código. Essas técnicas são frequentemente implementadas por ferramentas separadas - "crypters" ou simplesmente "packers". Neste artigo, usando o Trojan bancário RTM como exemplo, veremos quais “packers” podem ser usados ​​por cibercriminosos e como esses “packers” complicam a detecção de malware.





A versão completa deste estudo está disponível aqui .





Packer-as-a-service

O grupo de hackers por trás da distribuição de RTM regularmente realizava e-mails de phishing em massa com anexos maliciosos até o final de 2020. Esse processo, aparentemente, ocorreu de forma automática.





Cada um desses anexos continha arquivos significativamente diferentes, enquanto a carga útil final permanecia praticamente inalterada.





Arquivo RTM de amostra
RTM

— «». , RTM, «», 2020 .





- , . , , packer-as-a-service. , . .





Rex3Packer

RTM, , 2019 . , , — 2020 .





Email de phishing RTM, janeiro de 2021
RTM, 2021

- , : (recursion), (reverse) PE- (reflection) — Rex3Packer.





:





  1. VirtualAlloc , .





  2. ( , .text).





  3. .





  4. PE- ( ). ebx. . , , PE- , .





  5. .





  6. VirtualProtect RWX PE-.





  7. .





  8. .





  9. PE .





  10. — PE-. PE-, .





. : , .





16 , 4 4 :





  • ,





  • (PE-),





  • (*), ,





  • (1, 2, 4).





:





  1. ( , 10011000 00011001).





  2. (1, 2, 4), N = 9, 5, 3 . — (N – 1) ( 8, 4, 2).





  3. N-1 : . , 00000001, 00010001 01010101 . . OR , .





, 4 . .





Esquema para obter os bytes originais no modo 4
4

4.  PE-, (*) . , , . (*) .





, :





  • WinAPI. , , , .





                Exemplos de chamada de funções WinAPI
                WinAPI

  • — ( ), .





Função com chamada recursiva (opção sem ofuscação)
( )

  • . , .





RTM, Rex3Packer , .

SHA256

Phobos Ransomware

6e9c9b72d1bdb993184c7aa05d961e706a57b3becf151ca4f883a80a07fdd955

Zeppelin Ransomware

8d44fdbedd0ec9ae59fad78bdb12d15d6903470eb1046b45c227193b233adda6

Racoon Stealer

3be91458baa365febafb6b33283b9e1d7e53291de9fec9d3050cd32d98b7a039

KPOT Stealer

9b6af2502547bbf9a64ccfb8889ee25566322da38e9e0ccb86b0e6131a67df1e

Predator The Thief

d1060835793f01d1e137ad92e4e38ef2596f20b26da3d12abcc8372158764a8f

QakBot

18cc92453936d1267e790c489c419802403bb9544275b4a18f3472d2fe6f5dea

Nemty, Pony, Amadey.  





HellowinPacker

2020 RTM — HellowinPacker, 2021 . . , .





Comparação de código em duas cópias de estrutura diferente

. . .





Comparação de código em duas cópias da mesma estrutura

, Rex3Packer, HellowinPacker . , , . , , — .





, — HKEY_CLASSES_ROOT\Interface\{b196b287-bab4-101a-b69c-00aa00341d07} ( ) (Default). .





GUID .





, .





, (, ). VirtualAlloc RWX. X . Y .





Esquema de cópia de dados do HellowinPacker
HellowinPacker

4 :





  • (DWORD),





  • ,





  • xor , Z.





Rex3Packer, HellowinPacker WinAPI, . . , .





Ponto de entrada em uma das bibliotecas empacotadas

WinAPI imphash.





: ( ). WinAPI, (, 0 ).





HellowinPacker 2014 . . :

SHA256

Cerber Ransomware

1e8b814a4bd850fc21690a66159a742bfcec212ccab3c3153a2c54c88c83ed9d

ZLoader

44ede6e1b9be1c013f13d82645f7a9cff7d92b267778f19b46aa5c1f7fa3c10b

Dridex

f5dfbb67b582a58e86db314cc99924502d52ccc306a646da25f5f2529b7bff16

Bunitu

54ff90a4b9d4f6bb2808476983c1a902d7d20fc0348a61c79ee2a9e123054cce

QakBot

c2482679c665dbec35164aba7554000817139035dc12efc9e936790ca49e7854

, . , («») . . : .





, , . : . . , , (, PT Sandbox) . , . , — , PT Network Attack Discovery.





:







More articles:


All Articles