最近,天鵝絨威脅情報系統檢測到 SHIZ 病毒的新變種正在迅速傳播。 SHIZ病毒主要針對國外使用者群體,啟用後可以竊取使用者計算機上的敏感資訊並執行其他惡意操作。 不僅如此,當受害者訪問防毒軟體**時,也會被谷歌**劫持,會給使用者帶來很大的干擾。
病毒執行後,首先會使用對抗性手段檢測虛擬機器環境和防毒軟體,捕獲的變種樣本採用多種對策,除了使用shellcode塊執行外,還會使用push ret混淆IDA反編譯的呼叫流等手段來對抗反軟體; 然後,將惡意模組注入系統程序,進行資料竊取、截圖、DNS劫持等惡意操作。 病毒執行流程如下圖所示:
目前,天鵝絨安防產品可以攔截和殺滅上述病毒,並要求天鵝絨使用者及時更新病毒庫進行防禦。 Velvet 工程師建議您安裝並定期更新防病毒、防火牆和安全補丁,以確保您的安全性始終保持最新狀態。
混亂和對抗的手段
病毒啟動後,由最外層的載入器載入,最外層的載入器中有多種混淆方法,通過執行大量垃圾來混淆安全人員的分析,還無意義地呼叫冷 API 來檢測虛擬行為沙箱環境的真實性,相關**,如下圖所示:
為了防止安全人員進行剖析,病毒還使用push+ret在最外層的loader中進行函式呼叫,可以混淆IDA的反編譯函式,如下圖所示
Shellcode 是通過解密的方式執行的,相關 **,如下圖所示:
在 shellcode 執行期間,它會在多個塊中按順序執行。 乙個區塊執行後,對執行的區塊進行加密,然後再解密並執行下乙個區塊。 相關**,如下圖所示:
Shellcode 主要負責從資源中獲取內部模組,解密並載入到記憶體中,相關**,如下圖所示:
在內部模組中檢測到虛擬機器環境,如下圖所示
此外,通過呼叫 Windows 防火牆 API(相關 **)將自身新增到 Windows 防火牆的授權應用程式列表中,如下圖所示:
該模組還會將自身複製到“C:Windows Apppatch”目錄,並為永續性操作新增啟動自動啟動,如下圖所示:
模組執行初始化操作後,會將shellcode注入到系統程序中執行,如下圖所示
Shellcode 主要負責將最終的惡意模組載入到記憶體中,相關 **,如下圖所示:
內部的惡意模組
惡意模組使用DGA網域名稱生成演算法動態生成大量網域名稱,其優點是避免了基於靜態黑名單的防禦系統,因為這些系統通常通過攔截已知的惡意網域名稱來阻止惡意流量,黑客可以隨時註冊網域名稱使用, 以至於傳統的基於簽名的防禦方法往往無法及時響應這個動態生成的網域名稱,使得惡意軟體可以繼續與C2伺服器通訊,即使其中一些網域名稱被識別並列入黑名單。DGA演算法如下圖所示:
在對DGA演算法計算的部分網域名稱列表進行分析時,沒有發現倖存的C&C伺服器,不排除這些網域名稱將來會被註冊,如下圖所示
通過DGA網域名稱演算法,計算出C&C伺服器後,C&C伺服器將連線到C&C伺服器,並執行C&C伺服器發出的命令
load命令
從C&C伺服器**惡意模組中執行,相關**,如下圖所示:
kill_os命令
清空磁碟 MBR 並刪除關鍵登錄檔項,導致系統錯誤,相關**,如下圖所示:
惡意模組將自身注入到其他程序中,例如系統程序、瀏覽器程序和 svchostEXE(DNS快取伺服器)等程序執行各種惡意**、相關**,如下圖所示:
如果發現程序名稱為 svchostexe 會鉤住 DNS 相關函式進行 DNS 搶奪,相關**,如下圖所示:
以 Hook dnsquery A 函式為例,當受害者訪問防毒軟體的 ** 時,會被劫持到 Google 的 **、相關**,如下圖所示:
通過鉤子getclipboarddata函式監控受害者的剪貼簿資料,如下圖所示
通過掛鉤多個第三方庫進行簽名檔案處理,如果找到簽名檔案,會上傳到C&C伺服器,相關**,如下圖所示:
通過鉤子 winininetdll來記錄受害者計算機中訪問的各種網頁的資訊,相關**,如下圖所示
同時,這些資訊也會被過濾掉,如果包含登入憑證等指定資訊,就會被記錄下來並上傳到C&C伺服器,以httpsendrequestw函式為例,相關**,如下圖所示:
鍵盤記錄也是通過與鉤子訊息相關的函式完成的,如下圖所示:
以 hook translatemessage 函式為例,相關的 **,如下圖所示:
該病毒還會擷取受害者的螢幕截圖,如下圖所示
優質作者名單
hash: