查看: 21414|回复: 64
收起左侧

[技术原创] #娱乐向 #业余向 从各大杀软对篡改版 BlackSun 脚本勒索的反应看特征提取强度

  [复制链接]
anthonyqian
发表于 2022-3-20 00:37:43 | 显示全部楼层 |阅读模式
本帖最后由 anthonyqian 于 2022-3-20 20:24 编辑

1. BlackSun 勒索脚本的背景介绍

根据VirusTotal的数据,BlackSun 勒索最早出现在2021-09-20,隔日便出现在卡饭的样本区,从各家测试结果来看,状况还是比较惨烈的。BlackSun 勒索和大多数基于 PowerShell 的勒索不同,它不会下载有效载荷,也不会将 dll 或 exe 反射性地加载到 PowerShell 进程的内存中。BlackSun 勒索不但能够以 AES256 算法加密本机文件,还能够在本地网络内实现自我传播,还是比较有意思的。虽然这种勒索也许并没有大规模地应用于真实世界的攻击中,但由于其代码简洁明了的特点,可以被用来当作简单测试杀软的样本(https://blogs.vmware.com/securit ... -of-powershell.html)。

2. BlackSun 目前的入库情况

现在已经过去几个月了,BlackSun 勒索已经被各大厂商入库的差不多了



如上图,基本上主流厂商都入库了。需要注意的是,赛门铁克/诺顿最近在VT上似乎罢工了,但我印象里赛门铁克是杀的,检测名称是Trojan.Gen.NPE,这种报法显而易见是基于 MD5 的拉黑,不能抵御 BlackSun 勒索的任何形式的变种,因此默认下文中的挑战一失败。

3. BlackSun 变种测试(以下测试均基于上一次测试的样本进行进一步修改)

1) 挑战一:简单的 MD5 修改工具修改

利用卡饭 @henry217 编写的 MD5 修改工具,在 BlackSun 的代码末尾加入一串随机的字符串,来区分上图中哪些杀软是单纯的 MD5 拉黑。

测试结果:



如上图,报毒数从 30 降到了 18,因此有 12 个杀软只是最基本的 MD5 拉黑。经过比对后发现,Avira(红伞系)、Cynet、Ikarus、Jiangmin、Lionic(著名卡巴BD跟屁虫)、Microsoft、Sophos、Tencent、Trend Micro 卒,这几个杀软没有仔细提取过特征,只是简单的 MD5 拉黑,让人比较失望的是小红伞、趋势、Ikarus,因为这几个在报毒名中都体现了 BlackSun,然而并没有提取特征。有趣的是 MAX 的所谓的 ai Score,简单在代码末尾加了随机字符便让分数降低了 11 分

2) 挑战二:随机删除代码注释

挑战二也没啥难度,就是随机删除了三处代码行注释(#...),对整体毫无影响,然而结果是让人惊讶的。

测试结果:



可以发现,报毒数量再一次骤降,从 18 降到了 8。通过比对可以发现,BD 系、大蜘蛛、ESET、MAX 卒,让人意外的是大蜘蛛,因为这款杀软都是以特征提取精准闻名,然而简单的删除了代码注释就让它的引擎失灵。通过进一步测试发现,实体机版的 ESET 可以通过这一阶段的挑战。

3) 挑战三:修改一个变量名 + 修改要加密的文件类型

挑战三难度也比较低,主要是修改了一个变量名 $ArrFileExt 为 $ArrrrrFileExtension,然后从要加密的文件类型中删去 .dotx,加上 .wps。同样是小修小改。

结果如下:



报毒数降了一个,但是 ZoneAlarm 用的是卡巴斯基的病毒引擎,很奇怪为啥突然不报了。总的来看,这样的修改仍旧没有难住这几款杀软。卡巴斯基、McAfee、Avast、瑞星还有 QuickHeal 表现不错!通过进一步测试发现,实体机版的 ESET 可以通过这一阶段的挑战。

4) 挑战四:修改加密后文件的后缀名+修改勒索信

把加密的后缀从 .blacksun 改成 .yellowsun,然后修改了一下勒索信的内容,主要是邮箱地址和赎金金额。然而报毒数并没有变化!上面这些引擎真的还不错。通过进一步测试发现,实体机版的 ESET 无法通过这一阶段的挑战。

结果就不贴了。

5) 挑战五:删除篡改桌面壁纸操作的相关代码

直接删除篡改桌面壁纸操作的相关代码,包括“黑太阳”图片的 Base64 编码,这个步骤不涉及核心加密传播流程。

结果如下:



至此,McAfee、瑞星卒,但这两款杀软能到这一步,已经非常强了!卡巴、Avast、还有印度的 QuickHeal 真的难突破。通过进一步测试发现,实体机版的 ESET 无法通过这一阶段的挑战。

6) 挑战六:修改网络传播相关的值+修改公钥证书

最后一个挑战,修改了网络传播相关的值以及修改公钥证书,然而,还是没有能够突破卡巴、Avast、还有印度的 QuickHeal。。。通过进一步测试发现,实体机版的 ESET 无法通过这一阶段的挑战。



7) 附(yu)加(le)挑战

将代码中的所有 Blacksun 改为 Yellowsun,虽然此举不能确保修改后的“Blacksun”勒索能够顺利运行,但毕竟是娱乐挑战嘛。


终于,Avast、QuickHeal 停止了报毒,卡巴一枝独秀,但是报法从原来的疑似特征杀改为了 HEUR 启发杀,有意思。通过进一步测试发现,实体机版的 ESET 无法通过这一阶段的挑战。

8) 国产杀软的表现

由于国产引擎貌似没有上VT,所以要测试只能一款杀软一款杀软单独测试了。

① 火绒

原始样本检出,报 Ransom/PS.LockFile.c,感觉是一个特征查杀。直接用附加挑战的“魔改版”脚本去扫描,好家伙,同样报Ransom/PS.LockFile.c,有理由相信火绒能够通过之前的挑战一~挑战六。

② 智量

原始样本检出,报 Trojan.Ransom.Generic,感觉不是特征杀,用了挑战一的样本尝试扫描,果然就不报了。

③ 360 杀毒极速版(鲲鹏引擎打开)

原始样本检出,报 Trojan.Generic,听说是人工入库的~ 但是和智量一样,用了挑战一的样本尝试扫描,没有报毒。

4. 结论

  • 首先要指出的是,这个测试仅仅只针对了 BlackSun 这一个勒索样本,不能够完全反应一款杀软的启发能力或者是特征提取能力。
  • 话虽如此,仅就本测试而言,卡巴斯基、Avast、火绒是主流杀软里面特征提取最强的。同样很出色的是 McAfee、瑞星。
  • 期待有大佬进行类似的测试呀~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 22技术 +1 经验 +40 原创 +1 分享 +3 人气 +57 收起 理由
白露为霜 + 1 2022年多篇精品评测贴合并奖励
屁颠屁颠 + 40 + 1 + 3 版区有你更精彩: )
windows7爱好者 + 3 版区有你更精彩: )
axeaaa + 2 版区有你更精彩: )
雪拥蓝关 + 3 原创内容!

查看全部评分

kuroandsan
发表于 2022-3-20 05:25:52 | 显示全部楼层
很有趣,我还以为咖啡是单纯的云拉黑器
正在缓冲
头像被屏蔽
发表于 2022-3-20 08:39:57 | 显示全部楼层
我一直以为Avast拉黑勒索都是只拉黑MD5
anthonyqian
 楼主| 发表于 2022-3-20 08:54:59 | 显示全部楼层
kuroandsan 发表于 2022-3-20 05:25
很有趣,我还以为咖啡是单纯的云拉黑器

咖啡只有RDN/xxxx和 JTI/Suspect 这两种是单纯的MD5拉黑
anthonyqian
 楼主| 发表于 2022-3-20 08:58:28 | 显示全部楼层
正在缓冲 发表于 2022-3-20 08:39
我一直以为Avast拉黑勒索都是只拉黑MD5

Avast似乎只有FileRepMalware才是MD5拉黑。上次有个Fake installer的样本,从毒网下载样本,hash会变化,Avast、ESET还有BD是唯三能杀更新后的样本的
wangyuhe
发表于 2022-3-20 09:12:44 | 显示全部楼层
瑞星硬了
kuroandsan
发表于 2022-3-20 09:19:36 | 显示全部楼层
anthonyqian 发表于 2022-3-20 08:58
Avast似乎只有FileRepMalware才是MD5拉黑。上次有个Fake installer的样本,从毒网下载样本,hash会变化, ...

avast:malware-gen
anthonyqian
 楼主| 发表于 2022-3-20 09:31:49 | 显示全部楼层

那个样本Avast报的是Trojan-gen
↓★x
发表于 2022-3-20 11:23:39 | 显示全部楼层
本帖最后由 ↓★x 于 2022-3-20 11:25 编辑

如果把这一项组策略打开,似乎加密尝试会失败,因为使用了允许范围之外的加密算法






改MD5+删除注释后,BD个人版运行脚本无任何反应

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
anthonyqian
 楼主| 发表于 2022-3-20 11:47:52 | 显示全部楼层
本帖最后由 anthonyqian 于 2022-3-20 11:49 编辑
↓★x 发表于 2022-3-20 11:23
如果把这一项组策略打开,似乎加密尝试会失败,因为使用了允许范围之外的加密算法

这个组策略一般是禁用的吧

BD 拉跨了,还好这个样本似乎没有传播开来 说实话 我真没想到删个注释就会过掉那么多杀软。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:30 , Processed in 0.144692 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表