Al-Khaser: Teknik Malware Publik yang digunakan di Alam Liar: Mesin Virtual, Emulasi, Debugger, Deteksi Sandbox

Al-Khaser - Teknik Malware Publik yang Digunakan di Alam Liar: Mesin Virtual, Emulasi, Debugger, Deteksi Kotak Pasir

Pengenalan tentang Al-Khaser


Al-Khaser adalah aplikasi “malware” PoC dengan niat baik yang bertujuan untuk menekankan sistem anti-malware Anda. Itu melakukan banyak trik malware umum dengan tujuan melihat apakah Anda tetap di bawah radar.

Unduh Al-Khaser:Anda dapat MENGUNDUH dan MENJALANKAN LANGSUNG rilis terbaru di sini: untuk Windows32-bit dan64-bit.

Kemungkinan penggunaan:
* Anda membuat plugin anti-debug dan Anda ingin memeriksa keefektifannya.
* Anda ingin memastikan bahwa solusi kotak pasir Anda cukup tersembunyi.
* Atau Anda ingin memastikan bahwa lingkungan analisis malware Anda tersembunyi dengan baik.

Tolong, jika Anda menemukan salah satu trik anti-analisis yang Anda lihat di malware, jangan ragu untuk berkontribusi.

Fitur Al-Khaser
   Serangan anti-debugging:
* IsDebuggerPresent
* PeriksaRemoteDebuggerPresent
* Blok Lingkungan Proses (BeingDebugged)
* Blok Lingkungan Proses (NtGlobalFlag)
* ProcessHeap (Bendera)
* ProcessHeap (ForceFlags)
* NtQueryInformationProcess (ProcessDebugPort)
* NtQueryInformationProcess (ProcessDebugFlags)
* NtQueryInformationProcess (ProcessDebugObject)
* WudfIsAnyDebuggerPresent
* WudfIsKernelDebuggerPresent
* WudfIsUserDebuggerPresent
* NtSetInformationThread (HideThreadFromDebugger)
* NtQueryObject (ObjectTypeInformation)
* NtQueryObject (ObjectAllTypesInformation)
* CloseHanlde (NtClose) Menangani Tidak Valid
* SetHandleInformation (Pegangan yang Dilindungi)
* UnhandledExceptionFilter
* OutputDebugString (GetLastError())
* Breakpoint Perangkat Keras (SEH / GetThreadContext)
* Breakpoint Perangkat Lunak (INT3 / 0xCC)
* Memori Breakpoint (PAGE_GUARD)
* Interupsi 0x2d
* Interupsi 1
* Proses Induk (Explorer.exe)
* SeDebugPrivilege (Csrss.exe)
* NtYieldExecution / SwitchToThread
* Panggilan balik TLS
* Proses pekerjaan
* Memori menulis menonton
* Deteksi breakpoint pengecualian halaman
* Deteksi kait API (berbasis batas modul)

   Anti-injeksi:
* Hitung modul dengan EnumProcessModulesEx (32-bit, 64-bit, dan semua opsi)
* Hitung modul dengan ToolHelp32
* Hitung proses struktur LDR dengan
* LdrEnumerateLoadedModules
* Menghitung proses struktur LDR secara langsung
* Jalankan memori dengan GetModuleInformation
* Berjalan memori untuk modul tersembunyi

   Anti-Dumping: Hapus header PE dari memori danUkuranGambar.

   Serangan Waktu [Anti-Sandbox]:
* RDTSC (dengan CPUID untuk memaksa VM Keluar)
* RDTSC (Versi Locky dengan GetProcessHeap & CloseHandle)
* Tidur -> SleepEx -> NtDelayExecution
* Tidur (dalam satu lingkaran penundaan kecil)
* Tidur dan periksa apakah waktu dipercepat (GetTickCount)
* SetTimer (Pengatur Waktu Windows Standar)timeSetEvent (Pengatur Waktu Multimedia)
* WaitForSingleObject -> WaitForSingleObjectEx -> NtWaitForSingleObject
* WaitForMultipleObjects -> WaitForMultipleObjectsEx -> NtWaitForMultipleObjects (untuk dilakukan)
* IcmpSendEcho (Malware CCleaner)
* BuatPewaktu yang Dapat Ditunggu
* BuatTimerQueueTimer
* Loop crypto besar (todo)

   Interaksi Manusia / Generik [Anti-Sandbox]:
* Gerakan tikus
* Total memori Fisik (GlobalMemoryStatusEx)
* Ukuran disk menggunakan DeviceIoControl (IOCTL_DISK_GET_LENGTH_INFO)
* Ukuran disk menggunakan GetDiskFreeSpaceEx (TotalNumberOfBytes)
* Mouse (Klik tunggal / Klik dua kali) (untuk dilakukan)
* Kotak Dialog (untuk dilakukan)
* Menggulir (harus dilakukan)
* Eksekusi setelah reboot (todo)
* Jumlah prosesor (Win32/Tinba – Win32/Dyre)
* ID produk yang diketahui Sandbox (harus dilakukan)
* Warna piksel latar belakang (todo)
* Tata letak keyboard (Win32/Banload) (harus dilakukan)

   Anti-Virtualisasi / Emulasi Sistem Lengkap:
    * Artefak nilai kunci registri
+ HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Identifier) ​​(VBOX)
+ HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Identifier) ​​(QEMU)
+ PERANGKAT KERASDeskripsiSistem (SystemBiosVersion) (VBOX)
+ PERANGKAT KERASDeskripsiSistem (SystemBiosVersion) (QEMU)
+ PERANGKAT KERASDeskripsiSistem (VideoBiosVersion) (VIRTUALBOX)
+ PERANGKAT KERASDeskripsiSistem (SystemBiosDate) (23/06/99)
+ HARDWAREDEVICEMAPScsiScsi Port 0Scsi Bus 0Target Id 0Logical Unit Id 0 (Identifier) ​​(VMWARE)
+ HARDWAREDEVICEMAPScsiScsi Port 1Scsi Bus 0Target Id 0Logical Unit Id 0 (Identifier) ​​(VMWARE)
+ HARDWAREDEVICEMAPScsiScsi Port 2Scsi Bus 0Target Id 0Logical Unit Id 0 (Identifier) ​​(VMWARE)
+ SYSTEMControlSet001ControlSystemInformation (SystemManufacturer) (VMWARE)
+ SYSTEMControlSet001ControlSystemInformation (SystemProductName) (VMWARE)

    * Artefak Kunci Registri
+ PERANGKAT KERASACPIDSDTVBOX__ (VBOX)
+ PERANGKAT KERASACPIFADTVBOX__ (VBOX)
+ PERANGKAT KERASACPIRSDTVBOX__ (VBOX)
+ SOFTWAREOracleVirtualBox Guest Additions (VBOX)
+ SYSTEMControlSet001ServicesVBoxGuest (VBOX)
+ SYSTEMControlSet001ServicesVBoxMouse (VBOX)
+ SYSTEMControlSet001ServicesVBoxService (VBOX)
+ SYSTEMControlSet001ServicesVBoxSF (VBOX)
+ SYSTEMControlSet001ServicesVBoxVideo (VBOX)
+ SOFTWAREVMware, Inc.VMware Tools (VMWARE)
+ PERANGKAT LUNAKAnggur (WINE)
+ PERANGKAT LUNAKMicrosoftVirtual MachineGuestParameters (HYPER-V)

   …Dan banyak lagi. Detailnya bisa kamu baca di sini.

Kontributor
* mrexodia: Pengembang utama dari x64dbg
* Mattiwatti: Matthijs Lavrijsen
* tanah air: Graham Sutherland

Referensi:
* Panduan Rekayasa Anti-Terbalik Oleh Josh Jackson.
* Trik Anti-Unpacker Oleh Peter Ferrie.
* Seni Membongkar Oleh Mark Vincent Yason.
* blog Walied Assar.
* Alat pafish.
* PafishMacro oleh JoeSecurity.

Bacaan Lainnya

Pos terkait