Al-Khaser v0.72

内容


介绍


al-khaser是一个PoC“恶意软件”应用程序,其目的是强调您的反恶意软件系统。它会执行一些常见的恶意软件技巧,目的是看看你是否处于雷达之下。

下载


你可以在这里下载最新版本。

可能的用途

  • 你正在做一个反调试插件,你想检查其有效性。
  • 你想确保你的沙盒解决方案已经足够隐藏。
  • 或者你想确保你的恶意软件分析环境是隐藏的。
  • 如果您遇到任何您在恶意软件中看到的反分析技巧,请不要犹豫,马上贡献一下。

特征


反调试攻击

  • 的IsDebuggerPresent
  • CheckRemoteDebuggerPresent
  • 处理环境块(被破坏)
  • 进程环境块(NtGlobalFlag)
  • ProcessHeap(标志)
  • ProcessHeap(ForceFlags)
  • NtQueryInformationProcess(ProcessDebugPort)
  • NtQueryInformationProcess(ProcessDebugFlags)
  • NtQueryInformationProcess(ProcessDebugObject)
  • NtSetInformationThread(HideThreadFromDebugger)
  • NtQueryObject(ObjectTypeInformation)
  • NtQueryObject(ObjectAllTypesInformation)
  • 关闭汉斯(NtClose)荣军手柄
  • SetHandleInformation(受保护的句柄)
  • UnhandledExceptionFilter的
  • OutputDebugString(GetLastError())
  • 硬件断点(SEH / GetThreadContext)
  • 软件断点(INT3 / 0xCC)
  • 内存断点(PAGE_GUARD)
  • 中断0x2d
  • 中断1
  • 父进程(Explorer.exe)
  • SeDebugPrivilege(Csrss.exe)
  • NtYieldExecution / SwitchToThread
  • TLS回调
  • 处理作业
  • 内存写入看

反倾销

  • 从内存擦除PE头
  • SizeOfImage

定时攻击[Anti-Sandbox]

  • RDTSC(用CPUID强制VM退出)
  • RDTSC(带有GetProcessHeap和CloseHandle的Locky版本)
  • 睡眠 – > SleepEx – > NtDelayExecution
  • 睡眠(在一个小小的延迟)
  • 睡眠并检查时间是否加速(GetTickCount)
  • SetTimer(标准Windows定时器)
  • timeSetEvent(多媒体定时器)
  • WaitForSingleObject – > WaitForSingleObjectEx – > NtWaitForSingleObject
  • WaitForMultipleObjects – > WaitForMultipleObjectsEx – > NtWaitForMultipleObjects(todo)
  • IcmpSendEcho(CCleaner恶意软件)
  • CreateWaitableTimer(todo)
  • CreateTimerQueueTimer(todo)
  • 大加密循环(todo)
Human Interaction / Generic [Anti-Sandbox]
  • 鼠标移动
  • 总物理内存(GlobalMemoryStatusEx)
  • 磁盘大小使用DeviceIoControl(IOCTL_DISK_GET_LENGTH_INFO)
  • 磁盘大小使用GetDiskFreeSpaceEx(TotalNumberOfBytes)
  • 鼠标(单击/双击)(待办事项)
  • DialogBox(todo)
  • 滚动(todo)
  • 重启后执行(todo)
  • 处理器数量(Win32 / Tinba – Win32 / Dyre)
  • 沙箱已知产品ID(todo)
  • 背景像素(todo)
  • 键盘布局(Win32 / Banload)(todo)

反虚拟化/全系统仿真

注册表项值工件

  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VBOX)
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (QEMU)
  • HARDWARE\Description\System (SystemBiosVersion) (VBOX)
  • HARDWARE\Description\System (SystemBiosVersion) (QEMU)
  • HARDWARE\Description\System (VideoBiosVersion) (VIRTUALBOX)
  • HARDWARE\Description\System (SystemBiosDate) (06/23/99)
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE)
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 1\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE)
  • HARDWARE\DEVICEMAP\Scsi\Scsi Port 2\Scsi Bus 0\Target Id 0\Logical Unit Id 0 (Identifier) (VMWARE)

注册表键工件

  • “HARDWARE\ACPI\DSDT\VBOX__”
  • “HARDWARE\ACPI\FADT\VBOX__”
  • “HARDWARE\ACPI\RSDT\VBOX__”
  • “SOFTWARE\Oracle\VirtualBox Guest Additions”
  • “SYSTEM\ControlSet001\Services\VBoxGuest”
  • “SYSTEM\ControlSet001\Services\VBoxMouse”
  • “SYSTEM\ControlSet001\Services\VBoxService”
  • “SYSTEM\ControlSet001\Services\VBoxSF”
  • “SYSTEM\ControlSet001\Services\VBoxVideo”
  • SOFTWARE\VMware, Inc.\VMware Tools
  • SOFTWARE\Wine

文件系统工件

  • “SYSTEM32 \ DRIVERS \ VBoxMouse.sys”
  • “SYSTEM32 \ DRIVERS \ VBoxGuest.sys”
  • “SYSTEM32 \ DRIVERS \ VBoxSF.sys”
  • “SYSTEM32 \ DRIVERS \ VBoxVideo.sys”
  • “SYSTEM32 \ vboxdisp.dll”
  • “SYSTEM32 \ vboxhook.dll”
  • “SYSTEM32 \ vboxmrxnp.dll”
  • “SYSTEM32 \ vboxogl.dll”
  • “SYSTEM32 \ vboxoglarrayspu.dll”
  • “SYSTEM32 \ vboxoglcrutil.dll”
  • “SYSTEM32 \ vboxoglerrorspu.dll”
  • “SYSTEM32 \ vboxoglfeedbackspu.dll”
  • “SYSTEM32 \ vboxoglpackspu.dll”
  • “SYSTEM32 \ vboxoglpassthroughspu.dll”
  • “SYSTEM32 \ vboxservice.exe”
  • “SYSTEM32 \ vboxtray.exe”
  • “SYSTEM32 \ VBoxControl.exe”
  • “SYSTEM32 \ DRIVERS \ vmmouse.sys”
  • “SYSTEM32 \ DRIVERS \ vmhgfs.sys”

目录工件

  • “%PROGRAMFILES%\oracle\virtualbox guest additions\”
  • “%PROGRAMFILES%\VMWare\”

内存文物

  • Interupt Descriptor Table (IDT) location
  • Local Descriptor Table (LDT) location
  • Global Descriptor Table (GDT) location
  • Task state segment trick with STR

MAC地址

  • “\x08\x00\x27” (VBOX)
  • “\x00\x05\x69” (VMWARE)
  • “\x00\x0C\x29” (VMWARE)
  • “\x00\x1C\x14” (VMWARE)
  • “\x00\x50\x56” (VMWARE)

虚拟设备

  • “\.\VBoxMiniRdrDN”
  • “\.\VBoxGuest”
  • “\.\pipe\VBoxMiniRdDN”
  • “\.\VBoxTrayIPC”
  • “\.\pipe\VBoxTrayIPC”)
  • “\.\HGFS”
  • “\.\vmci”

硬件设备信息

  • SetupAPI SetupDiEnumDeviceInfo (GUID_DEVCLASS_DISKDRIVE)
  • QEMU
  • VMWare
  • VBOX
  • VIRTUAL HD

系统固件表

  • SMBIOS string checks (VirtualBox)
  • ACPI string checks (VirtualBox)

司机服务

  • VirtualBox
  • VMWare

适配器名称

  • VMWare

Windows类

  • VBoxTrayToolWndClass
  • VBoxTrayToolWnd

网络共享

  • VirtualBox Shared Folders

流程

  • vboxservice.exe (VBOX)
  • vboxtray.exe (VBOX)
  • vmtoolsd.exe(VMWARE)
  • vmwaretray.exe(VMWARE)
  • vmwareuser(VMWARE)
  • vmsrvc.exe(VirtualPC)
  • vmusrvc.exe(VirtualPC)
  • prl_cc.exe(Parallels)
  • prl_tools.exe(Parallels)
  • xenservice.exe(Citrix Xen)

WMI

DLL导出和加载的DLL

  • kernel32.dll!wine_get_unix_file_nameWine (Wine)
  • sbiedll.dll (Sandboxie)
  • dbghelp.dll (MS debugging support routines)
  • api_log.dll (iDefense Labs)
  • dir_watch.dll (iDefense Labs)
  • pstorec.dll (SunBelt Sandbox)
  • vmcheck.dll (Virtual PC)
  • wpespy.dll (WPE Pro)

中央处理器

  • Hypervisor presence using (EAX=0x1)
  • Hypervisor vendor using (EAX=0x40000000)
  • “KVMKVMKVM\0\0\0” (KVM)

  • “Microsoft Hv”(Microsoft Hyper-V or Windows Virtual PC)

  • “VMwareVMware”(VMware)
  • “XenVMMXenVMM”(Xen)
  • “prl hyperv “( Parallels) -“VBoxVBoxVBox”( VirtualBox)

反分析

流程

  • OllyDBG / ImmunityDebugger / WinDbg / IDA Pro
  • SysInternals Suite Tools (Process Explorer / Process Monitor / Regmon / Filemon, TCPView, Autoruns)
  • Wireshark / Dumpcap
  • ProcessHacker / SysAnalyzer / HookExplorer / SysInspector
  • ImportREC / PETools / LordPE

* JoeBox Sandbox

宏恶意软件攻击

  • Document_Close / Auto_Close。
  • Application.RecentFiles.Count

代码/ DLL注入技术

  • 远程线程
  • SetWindowsHooksEx
  • NtCreateThreadEx
  • RtlCreateUserThread
  • APC(QueueUserAPC / NtQueueApcThread)
  • RunPE(GetThreadContext / SetThreadContext)

文章转载请注明出处:https://www.freearoot.com/index.php/al-khaser-v0-72.html

文章来源:https://github.com/LordNoteworthy/al-khaser