对抗沙箱和虚拟机有效数字签名的fake app vt：3/62

ulyanov2233

wowocock 发表于 2025-8-25 10:50
木马通过多重方式躲过杀软对启动项的检测。
1，躲在[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ...

肉鸡哥，我觉得这个dll的数字签名方可以拉黑了，香港的皮包公司没查到有任何业务，被我们抓住两个黑dll了，专门用来做病毒的Capybara Technology Ltd

ANY.LNK

计划任务下还有一个启动，这个白程序会间接拉起ProgramData目录下的白加黑

wowocock

ANY.LNK 发表于 2025-8-25 11:07
计划任务下还有一个启动，这个白程序会间接拉起ProgramData目录下的白加黑

我只测了WIN7，可能WIN10后会放到计划任务或服务里，类似的出来很久了，
https://bbs.kafan.cn/thread-2277953-1-1.html

wwwab

wowocock 发表于 2025-8-25 10:50
木马通过多重方式躲过杀软对启动项的检测。
1，躲在[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ...

给他那个"阿弥陀佛"字符串取特征

ewader

ioa miss
360安全云kill

御坂14857号

这个本体文件的数签跟我在https://bbs.kafan.cn/thread-2284453-1-1.html发的一样，有老哥看看这俩样本啥关系不

tihs

沙里淘金

天守kill，sep kill

图钉鱼

这样本还先天免杀了Yara检测，对依赖Yara的检测是绝杀。
VT上的Yara规则检测全部歇菜。
针对查杀的针对性规避，源码级的免杀构建。

样本反分析措施
一、核心反调试措施（直接拦截调试环境）
样本通过主动检测调试器和干扰调试器功能，直接阻止调试工具或云沙箱的动态分析：
直接调试器检测：
调用IsDebuggerPresent（0x14001f340）直接检测调试器存在，若发现则触发__fastfail快速终止进程（不生成崩溃日志，避免调试器捕获）。
异常处理拦截：
通过SetUnhandledExceptionFilter(0LL)（0x14001f34d）清空未处理异常过滤器，防止调试器通过异常机制中断程序。
栈上下文混淆：
调用RtlCaptureContext捕获真实寄存器状态后，使用RtlVirtualUnwind（0x14001f297）修改ContextRecord的Rip（指令指针）和Rsp（栈指针），伪造调用栈。调试器会基于修改后的上下文显示错误的栈跟踪，无法定位真实函数调用链。
快速失败机制：
若处理器支持fastfail指令（通过IsProcessorFeaturePresent(0x17)检测），直接调用__fastfail终止进程，绕过调试器的异常拦截逻辑。
二、反虚拟机/云沙箱措施（精准识别虚拟环境）
样本通过硬件特征检测和虚拟环境标识检查，精准识别云沙箱的虚拟机本质（VMware、VirtualBox、Sandboxie），触发终止流程：
虚拟机特征检测：
函数sub_140009FD0（反虚拟机核心函数）通过以下方式识别虚拟机：
CPUID指令检测：执行CPUID指令读取EBX寄存器（虚拟机厂商标识，如VMware返回VMware字符串）；
注册表/文件检查：查询HKLM\SYSTEM\CurrentControlSet\Services\VBoxService（VirtualBox服务）、C:\Program Files\VMware Tools（VMware工具目录）等虚拟环境特有的注册表项或文件；
进程检测：枚举系统进程，查找VBoxHeadless.exe、vmware-vmx.exe等虚拟机进程。
云沙箱环境检测：
检查沙箱特有的环境变量（如SANDBOXIE_PATH）或进程（如SbieSvc.exe），若存在则直接终止程序。
三、混淆措施（干扰静态/动态分析）
样本通过控制流混淆和字符串混淆，增加分析难度，让云沙箱的静态扫描或动态跟踪失效：
控制流混淆：
使用RtlVirtualUnwind修改栈上下文，隐藏真实调用链；
函数_scrt_fastfail的调用链被故意设计为“循环依赖”（自身调用自身的异常处理），干扰静态分析工具的函数调用图生成。
字符串混淆：
恶意路径（如C:\ProgramData\...）通过逐字节构造（0x14000a2c3-0x14000a38b），而非直接硬编码。静态分析工具无法通过字符串匹配直接发现路径，需动态跟踪寄存器或内存才能还原。同样先天免杀Yara检测，对依赖Yara的检测是绝杀。

四、云沙箱失效原因
云沙箱通常依赖虚拟机环境和调试/跟踪机制运行样本，而样本的反分析措施正好针对这些弱点：
虚拟机检测触发终止：云沙箱的虚拟机特征（如VMware注册表、CPUID标识）被样本精准识别，直接触发__fastfail或进程终止，无法完成样本执行。
调试机制被拦截：云沙箱的动态跟踪依赖调试器API（如IsDebuggerPresent），样本通过直接检测和干扰这些API，让沙箱无法获取真实的程序执行流程。
混淆措施增加分析成本：字符串混淆和控制流混淆让沙箱的静态扫描无法识别恶意路径，动态跟踪无法还原真实调用链，导致沙箱无法判断样本的恶意行为。

wowocock

ANY.LNK 发表于 2025-8-25 11:07
计划任务下还有一个启动，这个白程序会间接拉起ProgramData目录下的白加黑

WIN10下看了下，会同时生成开始项和计划任务2个启动，所以可能需要处理2个地方。