专注linux
分类: 网络与安全
2016-09-01 12:08:38
在Hacking Team泄露的文件中含有不少后门、木马的源码,其中就包含有一些反虚拟机反沙箱的代码, 如scout-win-master中就涉及到了这类代码,主要由三部分组成,分别为: AntiCuckoo、AntiVBox、AntiVMWare(其中Cuckoo为一个虚拟化沙箱系统,VBOX和VMWare则为我们熟悉的两款虚拟 机)。安恒安全研究团队对这部分进行了分析。分析如下。
AntiCuckoo的具体代码如下图所示:
可以从源码中看到DllMain()中调用了sethooks()函数,sethooks()函数中调用了hook_api()函数,关键部分就在该函数中。其中有如下代码:
可以看到函数中创建了trampoline和pre_tramp,然后通过ret = hook_types[type].hook(h,addr,h->pre_tramp)插入了一个hook,即被hook的函数执行时要先跳转到 pre_tramp,pre_tramp部分代码如下:
其中FS:[0x44]为一段可以自定义的空间,这里将其定义为hook_info_t 结构。
在AntiCuckoo()中,将fs:[0x44]空间内存填充为1,扰乱了pre_tramp正常执行,导致程序异常,不能继续执行,从而绕过了cuckoo沙箱。
加载cuckoomon.dll到测试程序进行调试分析,关键过程如下:
程序执行在AntiCuckoo空间中,经过前面部分的指令的执行,fs:[0x44]空间内存已被填充为1,然后准备进入CreateThread()函数。
因为CreateThread()函数是被hook的函数,所以跳转到pre_tramp中去执行,
执行到如下这句,交换esp和eax+8的内容,而此时eax的地址指为fs:[0x44],fs:[0x44]空间内存仍被1填充,所以eax+8的内容为0x01010101,交换后esp的地址为0x01010101,栈地址被破坏。
再往下执行push ebx时由于栈地址被破坏直接异常退出。从而,绕过了Cuckoo。
AntiVBox的主要代码如下图所示:
它先创建COM对象,连接root\cimv2,然后通过select * from Win32_PnPEntity 查询 DeviceID,然后通过HASH编码等方式 ,然后校验是否有PCI\\VEN_80EE&DEV_CAF?,
如果存在,则说明在VBOX虚拟机中,bVBoxFound返回TRUE。并且如果ploc->ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVBoxFound返回TRUE。
AntiVMWare的主要代码如下图所示:
同AntiVBox类似,这里查找SerialNumer,经过hash加密后校验是否为VMWare,并检查是否是VMWARE_WHITELISTED,如果不是VMWARE_WHITELISTED,则说明是在虚拟机中,bVMWareFound返回TRUE。
并且如果pLoc->ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVMWareFound返回TRUE。
恶意程序能够利用这些反沙箱反虚拟机的方法,使其在特定虚拟机或沙箱环境下不正常执行,从而绕过沙箱的行为分析和检测。
转自: