Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1172443
  • 博文数量: 101
  • 博客积分: 110
  • 博客等级: 民兵
  • 技术积分: 1842
  • 用 户 组: 普通用户
  • 注册时间: 2012-08-24 13:26
个人简介

专注linux

文章分类

全部博文(101)

文章存档

2017年(2)

2016年(12)

2015年(17)

2014年(41)

2013年(27)

2012年(3)

分类: 网络与安全

2016-09-01 12:08:38

0x00背景

在Hacking Team泄露的文件中含有不少后门、木马的源码,其中就包含有一些反虚拟机反沙箱的代码, 如scout-win-master中就涉及到了这类代码,主要由三部分组成,分别为: AntiCuckoo、AntiVBox、AntiVMWare(其中Cuckoo为一个虚拟化沙箱系统,VBOX和VMWare则为我们熟悉的两款虚拟 机)。安恒安全研究团队对这部分进行了分析。分析如下。

0x01 AntiCuckoo

AntiCuckoo的具体代码如下图所示:


我们先分析cuckoomon中hooking相关的源码:

可以从源码中看到DllMain()中调用了sethooks()函数,sethooks()函数中调用了hook_api()函数,关键部分就在该函数中。其中有如下代码:

可以看到函数中创建了trampoline和pre_tramp,然后通过ret = hook_types[type].hook(h,addr,h->pre_tramp)插入了一个hook,即被hook的函数执行时要先跳转到 pre_tramp,pre_tramp部分代码如下:

其中FS:[0x44]为一段可以自定义的空间,这里将其定义为hook_info_t 结构。

在AntiCuckoo()中,将fs:[0x44]空间内存填充为1,扰乱了pre_tramp正常执行,导致程序异常,不能继续执行,从而绕过了cuckoo沙箱。

加载cuckoomon.dll到测试程序进行调试分析,关键过程如下:

程序执行在AntiCuckoo空间中,经过前面部分的指令的执行,fs:[0x44]空间内存已被填充为1,然后准备进入CreateThread()函数。

因为CreateThread()函数是被hook的函数,所以跳转到pre_tramp中去执行,

执行到如下这句,交换esp和eax+8的内容,而此时eax的地址指为fs:[0x44],fs:[0x44]空间内存仍被1填充,所以eax+8的内容为0x01010101,交换后esp的地址为0x01010101,栈地址被破坏。

再往下执行push ebx时由于栈地址被破坏直接异常退出。从而,绕过了Cuckoo。

0x02 AntiVBox

AntiVBox的主要代码如下图所示:

它先创建COM对象,连接root\cimv2,然后通过select * from Win32_PnPEntity 查询 DeviceID,然后通过HASH编码等方式 ,然后校验是否有PCI\\VEN_80EE&DEV_CAF?,

如果存在,则说明在VBOX虚拟机中,bVBoxFound返回TRUE。并且如果ploc->ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVBoxFound返回TRUE。

0x03 AntiVMWare

AntiVMWare的主要代码如下图所示:

同AntiVBox类似,这里查找SerialNumer,经过hash加密后校验是否为VMWare,并检查是否是VMWARE_WHITELISTED,如果不是VMWARE_WHITELISTED,则说明是在虚拟机中,bVMWareFound返回TRUE。

并且如果pLoc->ConnectServer()函数调用失败,则也假定运行在虚拟机中,bVMWareFound返回TRUE。

0x04 总结

恶意程序能够利用这些反沙箱反虚拟机的方法,使其在特定虚拟机或沙箱环境下不正常执行,从而绕过沙箱的行为分析和检测。

转自:

阅读(3426) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~