Osiris dropper使用process doppelgänging技术

ang010ela 技术 2018年8月14日发布
Favorite收藏

导语:Process Doppelgänging是一种模拟进程的技术。近期,勒索软件SynAck把该技术用作恶意用途,但该技术的应用还是很少的。研究任意发现Osiris(Kronos变种)银行木马dropper使用了该技术。

Process Doppelgänging是一种模拟进程的技术。近期,勒索软件SynAck把该技术用作恶意用途,但该技术的应用还是很少的。研究任意发现Osiris(Kronos变种)银行木马dropper使用了该技术。

关于process doppelgänging的其他情况请参考:http://www.4hou.com/system/9183.html

关于Osiris的其他情况请参考:http://www.4hou.com/web/12776.html

Dropper的开发者非常娴熟,使用了很多的技巧,本文分析加载器的实现过程。

分析的样本:

· 5e6764534b3a1e4d3abacc4810b6985d – original sample (stage 1)

· 8d58c731f61afe74e9f450cc1c7987be – stage 2

· e8c39091cce419adee23153f30cefa5a – Osiris core bot

Osiris的加载过分为三步:

概览

Dropper会创建一个新的进程,并注入内容:

当查看注入器的进程空间中加载的模块时,会看到一个NTDLL的多余副本:

这也是恶意软件开发者常用的技术,用来避免应用被监控和隐藏使用的API调用。

在检查从额外的NTDLL处调用了哪些函数时,研究人员发现了一些有趣的东西。它会调用许多与NTFS事务相关的API。因此,很容易猜测使用了Process Doppelgänging技术,因为这种技术非常依赖NTFS。

加载额外的NTDLL

NTDLL是一种特殊的、低级的DLL,是对syscall的封装,不依赖于系统中的其他DLL。

其他的系统DLL,比如Kernel32,非常依赖于NTDLL输出的函数。这就是为什么许多用户监控工具会hook和拦截NTDLL输出的函数:监视调用的函数,检查进程是否有可疑活动。

当然恶意软件开发者也知道这个机制,所以为了欺骗这一机制,恶意软件会从磁盘中加载NTDLL的新的没有钩子的(unhooked)的副本。

下面看一下Osiris dropper的应用方式:

从内存映射中可以看出,与其他DLL相似,NTDLL是以图像的形式加载。但NTDLL不是以典型的LoadLibrary函数加载,也不是以低级版NTDLL——LdrLoadDll加载。作者使用的是下面的函数来加载文件的:

· ntdll.NtCreateFile   打开ntdll.dll文件

· ntdll.NtCreateSection  在文件外创建一个section

· ntdll.ZwMapViewOfSection 映射section与进程地址空间

因为这样DLL看起来就是以典型的方式加载的,如果监控LdrLoadDll也看不出什么异常。

Process Doppelgänging的应用

为了让注入更加隐蔽,恶意软件作者在原来的Process Doppelgänging应用基础上,只用了低级API。恶意软件并没有从Kernel32调用便利的封装,但调用的大多数函数都与NTDLL是等价的。

首先,创建一个新的暂停进程。这也是payload要注入的进程。在特殊情况下,函数是从kernel32.dll中的函数CreateProcessInternal调用的。

然后,Process Doppelgänging会创建一个新的事务,事务会创建新文件。Kernel32中的CreateTransaction和CreateFileTransacted就是这个作用。

首先,调用NTDLL中的ZwCreateTransaction。然后,恶意软件作者会用RtlSetCurrentTransaction和ZwCreateFile打开事务文件。然后,dropper会将新的可执行文件的内容写入文件中,即恶意软件的stage 2。类似的,也会使用ZwWriteFile的RtlSetCurrentTransaction。

可以看到缓存会被写入新的PE文件,即stage 2 payload。对Process Doppelgänging技术,文件只有该事务可见,其他进程不能打开,即反病毒扫描器也无法打开。

事务中的文件创建后,会用于创建特殊格式的缓存,即section。完成这些动作的函数都只能通过低级API  ZwCreateSection/NtCreateSection调用。

Section创建完成后,创建的文件就不需要了。事务会回滚(ZwRollbackTransaction),对文件的修改也不会保存到磁盘上。

之后,创建是section会被用于加载PE文件。将payload写入内存、设定必要的补丁后,进程就重新开始了:

Stage 2 loader

下一层(8d58c731f61afe74e9f450cc1c7987be)不是核心部分,但是是loader的第二阶段。加载最终payload的方式更简单,Osiris核心代码一段一段解包,然后与相关依赖一起加载到加载器进程新分配的内存区域中。

自注入(self-injection)后,加载器会跳转到payload的入口点:

应用的入口点与header中保存的入口点不同。如果复制payload并相互依赖的运行,却不能得到系统的执行代码。这是一种误导研究人员的技术。

这是header中设置的入口点地址RVA 0x26840:

调用让应用进入无尽休眠循环的函数:

恶意软件执行的开始点,也就是真实的入口点在0x25386,只有loader知道入口点地址。

对比Kronos loader

原来的Kronos恶意软件(2a550956263a22991c34f076f3160b49)也是用了系统的技术来隐藏入口点。

Kronos的最终payload是注入到svchost中的。其执行会通过对svchost中的入口点打补丁来重定向到内核:

Payload的入口点是RVA 0x13B90,而payload header(d8425578fc2d84513f1f22d3d518e3c3)中保存的入口点地址是0x15002。

真实Kronos入口点代码与Osiris的非常相似,但并不是完全相同的:

结论

Process Dopplegänging在stage 1加载器的应用是非常专业的。恶意软件作者使用相对较新的技术和其他有名的技术融合在一起。代码的准确性与Kronos如出一辙。但还不能确定第一层与core bot的作者是否是同一个人。恶意软件传播者经常使用第三方加密器来对恶意软件打包。Stage 2与payload是紧密结合在一起的,而且这层是core的准备阶段。

本文翻译自:https://blog.malwarebytes.com/threat-analysis/2018/08/osiris-using-process-doppelganging/ http://www.absolutecentral.com/2018/08/osiris-dropper-found-using-process-doppelganging/如若转载,请注明原文地址: http://www.4hou.com/technology/13028.html
点赞 3
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论