快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

无文件攻击实例:基于注册表的Poweliks病毒阐发

媒介:

病毒与杀软的博弈持续进行着,双方的攻防手艺也是日月芽异,随着杀软杀毒能力的不断抬举,病毒匹敌也在持续加强,无文件攻击作为一种比较新型的攻击手段,正逐步扩铺其影响力。

千里目安全实验室EDR安全团队发现, 从2016年至今,无线黑客,所有重大的APT事故中,有77%的构造采用了无文件的攻击方式进行入侵,再纵观这三年,无文件的攻击方式也越来越流行:

图片.png 
(图片来自Gartner的演讲Get Ready for ’Fileless’ Malware Attacks)

近日,我们拿获了一个poweliks病毒样本,此病毒家族就是一个典型的基于注册表的无文件攻击实例。为了对此类攻击有更直观且周全的了解,我们研究阐发poweliks病毒,来梳理无文件式攻击的总体流程。Poweliks是有名的无文件式攻击病毒,其后出现了多个版本的变种,其采用了注册表、powershell、进程注入这三种无文件攻击方式来对主机进行隐蔽性攻击,由于举动很隐蔽,所以其很难被杀软所查杀。

病毒道理:

图片.png

Poweliks.exe为此病毒的母体, poweliks.exe起首修改注册表,然后调用rundll32.exe执行powershell脚本(包含恶意代码),powershell脚本起首创建一个合法进程dllhost.exe(此文件在C:\Windows\System32目录下),然后将恶意代码注入到此进程中并执行(藏避杀软查杀) ,达到与C&C服务器通讯的目的。最后,当体系每一次重启时,都会自动运行注册表里的恶意代码,完成持久化攻击。

双击Poweliks.exe(病毒母体),运行情形以下:

图片.png

手艺阐发:

Poweliks病毒通常为通过邮件的方式进行传播的,在邮件内里包含一个恶意的word文档,一旦关上这个word文档,它将会执行恶意代码并运行Poweliks病毒。

病毒支流程以下:

图片.png

下列是C&C服务器的地址及HTTP要求的格式

图片.png 

图片.png 

图片.png 

Poweliks.exe接着向注册表默认启动项键值(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\(Default))中写入两条恶意代码:

写入第一个恶意代码(调用rundll32.exe读取run键值里的jscript代码并执行)

图片.png

这段代码由因而使用Unicode编码的,所以使用regedit.exe关上会报错误,使用常规的方式删除不了此注册表键:

图片.png

写入第二个恶意代码(被调用执行的Jscript代码)

图片.png 

图片.png

然后在Run项下创建创建一个Unicode字符的项:

图片.png

这里的目的也是为了使用户在关上regedit.exe关上的时辰出现报错,防止用户删除恶意的注册表项:

图片.png 

我们现在归过头来看看jscript的症结代码

图片.png 

图片.png

这段代码的首要功能是调用powershell执行一段base64加密后的代码,将powershell代码解密,发现其中继续调用了一段加密代码,解密后发现是一段恶意的二进制shellcode。

图片.png

然后,poweliks.exe调用进程poweliks.exe:0进行自删除:

图片.png 

图片.png 

图片.png

poweliks.exe:0进程在删除母体文件poweliks.exe撤退退却出。

最后,遗留在体系中dllhost.exe进程被注入恶意代码后做了两个操作,连接C&C服务器以及监控注册表,确保本人的恶意代码不会被删除:

图片.png 

图片.png 

处理要领:

1. 结束进程dllhost.exe

2. 使用PCHunter删除注册表相应的恶意键值,即删除默认键对应的值。(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\默认)

 *

您可能还会对下面的文章感兴趣: