ASHDEX/Evasive-Malware
GitHub: ASHDEX/Evasive-Malware
针对《Evasive Malware》一书的学习笔记,系统整理恶意软件反分析、沙箱规避、防御规避及持久化逃避技术,并关联MITRE ATT&CK。
Stars: 0 | Forks: 0
# 规避性恶意软件
*规避性恶意软件:理解欺骗性与自我保护威胁*的学习笔记——涵盖现代恶意软件用于逃避检测、分析和防御控制的技术。
## 反分析技术
| 技术 | 方法 | 目的 |
|------|------|------|
| 调试器检测 | IsDebuggerPresent、NtQueryInformationProcess、堆标志检查 | 在调试器下终止或改变行为 |
| 反反汇编 | 模糊谓词、垃圾指令、跳入指令 | 破坏静态分析工具 |
| 时序检查 | RDTSC 差值、GetTickCount、QueryPerformanceCounter | 检测单步调试造成的人为减速 |
| 硬件断点检测 | 通过 GetThreadContext 检查 DR 寄存器 | 识别分析人员设置的断点 |
| 校验和验证 | 运行时对代码段进行 CRC32 校验 | 检测被打补丁/修改的内存代码 |
## 沙箱规避
| 规避类别 | 技术 |
|---------|------|
| 用户交互 | 检查鼠标移动、点击事件、前景窗口 |
| 环境指纹识别 | CPU 核心数 < 2、RAM < 4GB、屏幕分辨率、VM 痕迹 |
| VM/虚拟机监控器检测 | CPUID 检查、RDTSC 差异、VMware 注册表键、VirtualBox 驱动程序 |
| 睡眠加速绕过 | 长时间 sleep 调用、基于事件的延迟、日期/时间检查 |
| 进程/模块枚举 | 检测沙箱代理进程(例如 cuckoo.exe、vboxservice.exe) |
| 文件系统痕迹 | 查找用户文件、浏览器历史记录、最近文档的缺失 |
## 防御规避 — MITRE ATT&CK 映射
| 技术 ID | 名称 | 实现 |
|---------|------|------|
| T1055 | Process Injection | 通用注入 — WriteProcessMemory + CreateRemoteThread |
| T1055.012 | Process Hollowing | 卸载合法进程,映射恶意映像 |
| T1106 | Native API | 直接系统调用绕过用户态钩子(例如 Ntdll 修补) |
| T1562.001 | Disable Security Tools | 修补 ETW (EtwEventWrite),从 ntdll 解除 AV 钩子 |
| T1620 | Reflective Code Loading | 将 PE 加载到内存而不接触磁盘 |
| T1134 | Access Token Manipulation | 令牌模拟/复制以提权 |
| T1218 | Signed Binary Proxy Execution | 滥用 LOLBins 通过可信二进制运行 shellcode |
| T1027.011 | Fileless Storage | 将载荷存储在注册表、WMI 订阅、NTFS 数据流中 |
## 持久化规避
- **COM 劫持** — 替换合法 COM 对象注册(HKCU 配置单元,无需管理员权限)
- **计划任务伪装** — 以系统任务命名的任务,存储在非默认路径
- **启动/预操作系统** — MBR/VBR 感染、用于操作系统级别以下持久化的 UEFI 植入
- **WMI 事件订阅** — 通过 ActiveScriptEventConsumer 实现无文件持久化
## 检测工程笔记
- **ETW 修补** — 恶意软件将 `EtwEventWrite` 修补为返回空字节;监控 ntdll 中的意外字节变化
- **系统调用监控** — 通过内核回调(非用户态钩子)检测直接系统调用
- **内存扫描** — 在非映像映射的内存和 RWX 区域中扫描 PE 头部
- **行为指标** — 进程空心化导致映像路径与实际映射文件不匹配
- **使用 Sigma 进行狩猎** — 关联进程创建、网络和注册表事件以发现规避链
## 参考
- *Evasive Malware* — Kyle Cucci(No Starch Press 出版)
- MITRE ATT&CK:https://attack.mitre.org
标签:Cloudflare, Conpot, DOM解析, ETW规避, MITRE ATT&CK, SSH蜜罐, VM检测, Wayback Machine, Windows安全, 反分析, 反汇编, 反调试, 恶意代码分析, 恶意软件, 时序检测, 校验和验证, 沙箱规避, 混淆技术, 环境指纹, 用户交互检测, 硬件断点检测, 禁用安全工具, 私有化部署, 管理员页面发现, 自我保护, 规避技术, 调试器检测, 进程注入, 进程空心化, 配置文件, 防御加固, 防御规避