APT攻擊中會使用合法程序嗎？

這幾天，在我研究過程中我發現了下面這樣一個文件：

MD5 5e81bd134168d7d8c91b96d88b5e0fd0nSHA1 a632371b2aa54709d4bf6b0f28cb1904cb8864bcn

在這一軟體信息中可以看到它是由SlavaSoft公司製作的HashCalc程序，不過也可能不會這一公司製作的。

在SlavaSoft公司網站主頁上可以看到這一軟體，對其說明如下：

一個快速簡易的計算器，可以計算文件，文本文檔，以及哈希字元串的消息摘要，校驗碼，以及HMAC。這一工具提供了13種最常用的hash，以及校驗演算法以便進行將計算。n

我手上的這一文件確實具有這樣的功能。

通過靜態分析，並沒有發現一些有趣的東西，只是在.text段中是允許寫入的，這在一些函數庫中是很常見的。當我進行動態分析時，幾乎試遍了所有的功能，也沒有發現一些可疑的行為。

這時我就有點困惑了，從這一點看確實這一文件是沒有問題的，如果沒有足夠的時間去分析它，我相信每個人都會和我說一樣的話的。

在我調試這一軟體之前，我想從官網上將文件下載下來，然後和我手中的文件進行比較。但是當文件正在被分析時，無法和另外一個文件進行比較。所以在這種情況我有兩種選擇，完成分析，或者調試整個程序。如果程序很大，我們需要花費非常長的時間對它進行調試，如果我們想立即獲得結果，幾乎是不可能的。

在這種情況下，我已經有了原始的文件，只需要比較該文件是不是多了一些隱藏的功能，讓我們看看吧～

除了.text段外，其餘段的md5值都是相等的:

通過比較.text段，我們可以發現該部分的最後一個位元組存在不同:

如果我們通過hiew反編譯這些位元組，我們可以讀到一些彙編指令：

因為想調試這一段代碼，所以在第一個說明處放置一個斷點，也許這一代碼可能執行也可能不執行，甚至這不是一串代碼。

下一張圖中，當我想從文件中得到hash值時，這一程序停止了：

現在到達了我們設置之前斷點的地方，這一段代碼正在嘗試對自身解密，下圖是加密的shellcode：

對shellcode進行解密，只是單純的與7進行亦或:

解密之後的shellcode：

解密之後的shellcode就回有些有趣的東西：

- SLAVAn- kernel32n- ANNA (Anna Chapman???)n- CreateEventAn- .PhysicalDrive0n- ALISAn- KATIn- ntdlln

shellcode如下:

這一段shellcode會執行以下步驟：

1. 對自身進行解碼

3. 它會創建一個名為SLAVA的時間，如果事件沒有創立，那麼就會返回之前代碼，因此這一代碼是等待事件的創立。

4.接下來shellcode會將.PhysicalDrive0的前512個位元組進行覆蓋，當這一扇區覆蓋之後計算機將無法啟動。

5. 對本身進行加密，從而隱藏惡意代碼。

6. 返回原始代碼

如果你還記得文章第一張圖片，這一惡意軟體只被一個殺毒軟體檢測到。

結論:

在文件大小大於50M的情況下，除非惡意軟體激活時，否則很難找到惡意代碼的。也許我們可以得到原始的文件，我們可以比較兩者的差異，但是在某些情況下是不可能的。我們必須要花很長時間或者金錢去找到惡意代碼。這一文件可能是apt攻擊中，等待第三方事件的軟體。那麼是誰製作的？為什麼要製作他？他們是否是使用一種工具對它進行製作？所以如果我們有機會，我們必須比較手中的文件和官網上的文件，但是當我們沒有原始文件時，會發生什麼呢？

本文翻譯自：Can be a "legitimate" program an APT? ? reversingminds's Blog，如若轉載，請註明來源於嘶吼： APT攻擊中會使用合法程序嗎？ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：