如何解开MassLogger使用的反分析策略

发布时间：2021-11-13 11:54 所属栏目：53 来源：互联网

导读：FLARE团队最近刚刚完成了对MassLogger的分析，MassLogger是一个相当新的凭证窃取软件。尽管MassLogger缺少新颖的功能，但还是采用了一种复杂的技术，该技术在运行时取代了Microsoft中间语言(MSIL)，从而阻碍了静态分析。截至发稿时，只有一篇文章详细介绍过Ma

FLARE团队最近刚刚完成了对MassLogger的分析，MassLogger是一个相当新的凭证窃取软件。尽管MassLogger缺少新颖的功能，但还是采用了一种复杂的技术，该技术在运行时取代了Microsoft中间语言(MSIL)，从而阻碍了静态分析。截至发稿时，只有一篇文章详细介绍过MassLogger的混淆技术。本文，看看FLARE团队是如何深入研究MassLogger凭证窃取程序和.NET运行时的。

MassLogger的基本情况

MassLogger是一个.NET凭证窃取软件，它从启动程序(6b975fd7e3eb0d30b6dbe71b8004b06de6bba4d0870e165de4bde7ab82154871)开始发起攻击，该启动程序使用简单的反调试技术，在识别时可以轻松绕开安全监控。此第一阶段加载程序最终会对第二阶段程序集进行XOR处理，然后解密、加载并执行名为Bin-123.exe的最终MassLogger有效载荷(bc07c3090befb5e94624ca4a49ee88b3265a3d1d288f79588be7bb356a0f9fae)。最终的有效载荷可以轻松提取并独立执行。因此，我们将专门关注使用主要反分析技术的最后有效载荷。

基本的静态分析是不会发现什么有价值的东西的，不过我们注意到了一些有趣的字符串，但它们不足以为我们提供有关该恶意软件功能的任何提示。在受控环境中执行有效载荷表明，该示例删除了一个日志文件，该文件标识了恶意软件家族，其版本以及最重要的一些配置选项。图1中描述了一个示例日志文件，随着示例的运行，我们还可以从内存中提取一些有趣的字符串。但是，基本的动态分析不足以提取所有基于主机的指标(HBI)，基于网络的指标(NBI)和完整的恶意软件功能。我们必须进行更深入的分析，以更好地理解样本及其功能。

（编辑：ASP站长网）