當前位置：首頁 > 報告詳情

Patrick Staubmann - TA577從你身邊走過 - Pikabot中的間接系統調用.pdf

上傳人：蘆葦編號：185947 2024-11-02 PDF PDF 30頁 1.35MB

該報告所屬合集： 2024年SANS網絡威脅會議（Cyber Threat Summit 2024）嘉賓演講PPT合集

打包下載報告合集

文檔加載中……請稍候！
如果長時間未打開，您也可以點擊刷新試試。

下載報告到電腦，查找使用更方便

VIP專享文檔

書簽

分享

收藏

已收藏

版權投訴

/30

立即下載

word格式文檔無特別注明外均可編輯修改，預覽文件經過壓縮，下載原文更清晰！

三個皮匠報告文庫所有資源均是客戶上傳分享，僅供網友學習交流，未經上傳用戶書面授權，請勿作商用。

《Patrick Staubmann - TA577從你身邊走過 - Pikabot中的間接系統調用.pdf》由會員分享，可在線閱讀，更多相關《Patrick Staubmann - TA577從你身邊走過 - Pikabot中的間接系統調用.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、TA577 Walked Just Past YouIndirect Syscalls in PikabotPatrick StaubmannTeam Lead Threat AnalysisVMRay GmbH2Pikabot OverviewFirst SeenClassificationThreat ActorEvasion TechniquesEarly 2023(Down-)LoaderBackdoorTA577(Water Curupira)Well known for distributing QBotDistribution of Black Basta ransomwareI

2、ndirect System Calls3A closer look to PikabotLoading core modulePikabot went dark in 2024 (Operation Endgame).Butwe may see“powered-up”variants with enhanced loader and core modules.LoaderC2 CommunicationInjector(PE&Shellcode)Command ExecutionData Collection/FingerprintingCore Module4Pikabots Evasio

3、n TechniquesHardware-based EvasionTiming-based EvasionLimited ResourcesMore than 2 CPU Cores?At least 2 GB of memory?Sleep for certain time to hide behaviorUncommon API to pause executionBeep()5UncoveringIndirect Syscalls6WINDOWS API7From User Mode to Kernel ModeUSER MODEKERNELsample.exe.instruction

4、.instruction.call CreateFileWkernelbase.dllCreateFileW.instruction.instruction.call NtCreateFilentdll.dllNtCreateFile.instruction.instruction.syscall8kernelbase.dll(cont.).instructions.call NtCreateFileEDR(inline)Monitor HooksUSER MODEKERNELsample.exe.instruction.instruction.call CreateFileWkernelba

5、se.dllCreateFileWjmp edr.dllntdll.dllNtCreateFile.instruction.instruction.syscalledr.dll(hook)Monitor API Call9NATIVE FUNCTIONS10Using Native FunctionsUSER MODEKERNELsample.exe.instruction.instruction.call NtCreateFilekernelbase.dllCreateFileW.instruction.instruction.call NtCreateUserProcessntdll.dl

6、lNtCreateFile.instruction.instruction.syscall11Calling Native Functions12Avoiding Native FunctionsUSER MODEKERNELsample.exe.instruction.instruction.?kernelbase.dllCreateFileW.instruction.instruction.call NtCreateFilentdll.dllNtCreateFile.instruction.instruction.syscall?13DIRECT SYSCALLS14How are nat

7、ive functions implemented?USER MODEKERNELsample.exe.instruction.instruction.call NtCreateFilekernelbase.dllCreateFileW.instruction.instruction.call NtCreateFilentdll.dllNtCreateFile.instruction.instruction.syscall?15NtCreateFile in ntdll.dll16Direct Syscall17Using Direct SyscallsUSER MODEKERNELsampl

8、e.exemov r10,rcxmov eax,NtCreateFile.idsyscall.instruction.18INDIRECT SYSCALLS19Indirect SyscallsUSER MODEKERNELsample.exe.instruction.mov eax,idjmpntdll.dllNtCreateFilesyscall20Syscall Offset+0 x03+0 x08+0 x10+0 x1221Indirect Syscall22INDIRECT RANDOM SYSCALLS23Indirect Random SyscallsUSER MODEKERNE

9、Lsample.exe.instruction.mov eax,NtCreateFile.idjmpntdll.dllNtCreateAtomAsyscall24Indirect Random Syscall25SysWhispers2https:/ next?VEX&Syscalls(Vectored Exception Handling)ROP&Syscalls(Return Oriented Programming)Call Stack Spoofing2828TakeawaysPikabot29Key TakeawaysContemporary malware families are still focusing on circumventing sandboxes and EDRs with sophisticated techniques.Cat and mouse game:Malware will get better at camouflaging(in)direct syscalls,defenders need to stay up-to-date.Different implementations of syscall-based evasion techniques are on the rise.Q&AThank you.

相關圖表

本文主要介紹了Pikabot這一惡意軟件的 Indirect Syscalls 技術及其逃避檢測的策略。Pikabot曾與QBot一同分發，并在2024年變得隱蔽（Operation Endgame），但可能有增強版變種出現。該惡意軟件使用硬件和時間為基礎的逃避技術，例如檢查系統資源，并在特定時間休眠以隱藏行為。Pikabot還利用不常用的API暫停執行，如Beep()，以及通過間接系統調用（Indirect Syscalls）和直接系統調用（Direct Syscalls）技術來逃避監控。其中，間接系統調用通過跳轉指令實現，而直接系統調用則通過mov和syscall指令實現。文章最后強調，隨著syscall-based evasion techniques的不斷興起，防病毒軟件需要持續更新以應對新的挑戰。

"Pikabot如何逃避威脅分析？" "間接系統調用在惡意軟件中的作用是什么？" "如何通過硬件和時間based逃避技術來隱藏惡意行為？"

相關報告

聯系我們

0731-84720580
sgpjbg002
工作日 9:30 - 18:00

關于我們

侵權處理

關于我們

出版物經營許可證
工信部備案號：湘ICP備17000430號-2
公安備案號：湘公網安備43010402001071號

三個皮匠報告專業的行業報告下載站，每日更新，歡迎大家關注！

copyright@2008-2013 長沙景略智創信息技術有限公司版權所有
網站備案/許可證號：湘B2-20190120

客服

小程序

服務號

折疊

午夜网日韩中文字幕,日韩Av中文字幕久久,亚洲中文字幕在线一区二区,最新中文字幕在线视频网站