分析Rhadamanthys恶意软件 - Virtualattacks
跳到内容
2025年12月28日 下午2:27:16 FacebookTwitterInstagram Virtualattacks - 下一代网络安全新闻
主导航
首页 关于我们 联系我们 免责声明 隐私政策 条款和条件
明暗模式切换按钮
搜索
订阅
热门话题 分析Rhadamanthys恶意软件
Virtualattacks Staff
2023年12月19日
正在准备您的Trinity Audio播放器… 在2022年最后一个季度,发现了信息窃取恶意软件Rhadamanthys。鉴于其能够针对受害者计算机上安装的浏览器扩展和钱包客户端,其能力显示出对加密货币钱包的特别兴趣。 已注意到此威胁的主要分发方式是通过钓鱼邮件和通过Google Ads宣传的虚假软件网站,无论行业或地域如何。 虽然其分发和信息窃取方法先前已被观察到,但其下载器组件使其脱颖而出。它通过将复杂的反分析技术与深度混淆相结合,使得传统安全方法难以分析。 Rhadamanthys下载器主要采用C++编写,采用分阶段执行并运用多种反分析技术。
- 虚拟机混淆器。
- 强大的虚拟机和沙箱检测能力。既从开源程序al-khaser导入,也源自自身。
- 使用嵌入式文件系统的自定义文件格式。 Rhadamanthys的反分析特性并非未被注意。Zscaler的研究人员发现,所使用的虚拟机混淆器是Quake 3 VM。此外,分析人员将这些独特的文件格式与加密货币矿工Hidden Bee所使用的格式联系起来。CheckPoint最近发布了对虚拟文件系统内部运作的详细分析。 Shellcode之舞:细看Rhadamanthys窃密者 Rhadamanthys是一种新开发的C++信息窃取程序。根据众多报告,该恶意软件自2022年底以来一直处于活跃状态。 为了获得早期的立足点,该恶意软件还似乎伪装成可信赖的程序,包括AnyDesk安装程序和Google广告。 在使用方面,恶意软件的制作者在暗网上提供各种激励措施,包括终身使用或按月付费。 作者还强调了该恶意软件除了收集系统信息外,还能执行其他进程(如Powershell)并窃取数字货币的能力。 在本文中,我将分析Rhadamanthys窃密者,并逆向工程其从恶意软件本身到初始投放器的每个步骤。 像往常一样,我将通过幻灯片和逐步教程相结合的方式进行讲解,重点是我最感兴趣的方面(恶意软件试图逃避检测的方式)。 投放器 与许多投放器一样,Rhadamanthys的投放器是一个32位文件,具有相对较高的熵,表明它可能包含打包内容。 PEstudio较新的功能之一是能够检查ASLR功能是否启用。为了便于追踪,我总是在分析中禁用ASLR,以便XDBG和IDA中的地址保持一致。 在PEstudio中选择"optional-header",然后查看ASLR栏,你可以在"detail"列下看到其状态为true(启用)或false(禁用)。 解包过程:定位初始shellcode 当我们在IDA中检查投放器时,可以在.data节中看到一个巨大的嵌入式"blob"。这些blob通常可能包含将在运行时解密的数据。 负责解密blob的主要函数是sub_408028。在sub_408028中有两个有趣的函数:
- sub_406A28:此函数负责返回需要写入数据的地址。
- sub_408528:一个memcpy包装函数。 在第一次迭代期间,嵌入式blob将被写入新创建的堆中。 然后,在调用VirtualAlloc创建新分配的内存块后,使用memcpy将shellcode从堆复制到新内存。最后,将使用VirtualProtect API调用将内存段的权限更改为RWX。 接下来,我们将导航到WinMain函数中的地址004065A1(请记住,为了便于在IDA和调试器中导航,ASLR已关闭)。 我们可以观察到,偏移变量42F6F0的值正在接收动态位于EAX寄存器中的shellcode地址。 基于回调的shellcode执行 一旦我们拥有具有EXECUTE权限的shellcode,就需要一种运行它的方法。这里的作者选择了一种巧妙的解决方法:使用回调函数。 shellcode将按如下方式执行:
- 函数sub_405728调用ImmEnumInputContext API。
- sub_405728接收函数sub_407228作为参数,该函数仅是另一个跳转到shellcode地址的函数的包装器。
- 最终,ImmEnumInputContext将从其第二个参数"lpfn"获取shellcode地址并执行它。 修正
- 在每个控制点阻止所有威胁指标。
- 利用适用于您环境的安全控制措施来查找危害指标。
- 始终对来自不熟悉的发件人的电子邮件保持谨慎。
- 切勿信任或打开"从未知来源/发件人收到的链接和附件"。
- 确保定期备份所有服务器和计算机网络。 最后,Rhadamanthys运行主模块的shellcode加载器,该加载器通过从公钥和配置结构的盐值生成AES密钥来解密模块的最后一层。然后使用LZSS算法解压解密后的输出。 注意:预期的解密输出开头应出现"!HADES"字样。 请注意,尽管网络通信受安全加密算法保护,但Rhadamanthys生成椭圆曲线密钥的过程存在一个重大缺陷。 当它运行时,首先调用C函数time来查找被入侵机器的当前纪元时间。然后,它调用srand函数,将纪元时间作为种子传递。最后,它调用C函数rand来生成秘密标量值。 因此,如果我们拥有包含公钥和纪元时间的初始服务器请求的网络捕获,我们就可以暴力破解生成的密钥。 继续阅读 上一篇:什么是暗网? 下一篇:什么是"网络安全"? 留下回复 取消回复 您的电子邮件地址将不会被公开。必填项已标记为* 评论 * 姓名 * 电子邮件 * 网站 在此浏览器中保存我的姓名、电子邮件和网站,以便下次评论时使用。
相关新闻
热门话题
什么是恶意软件及其类型?
2024年1月22日
热门话题
什么是"网络安全"?
2024年1月19日
分类 漏洞和事件 恶意软件和漏洞 热门话题 趋势、报告、分析 最近的文章 Xerox打印机漏洞危及数据安全 美国无线电中继联盟支付100万美元赎金 什么是恶意软件及其类型? 什么是"网络安全"? 分析Rhadamanthys恶意软件
搜索
您可能错过了
恶意软件和漏洞
Xerox打印机漏洞危及数据安全
2024年10月24日
漏洞和事件
美国无线电中继联盟支付100万美元赎金
2024年8月24日
热门话题
什么是恶意软件及其类型?
2024年1月22日
热门话题
什么是"网络安全"?
2024年1月19日
热门话题
分析Rhadamanthys恶意软件
2023年12月19日
热门话题
什么是暗网?
2023年12月8日
版权所有 © 2025 Virtualattacks。保留所有权利。