[分享] 翻译国外技术大牛文章 规避技术： 网络检测方法与规避

更新日期：2021年5月28日

此文后期：根据自身所学进行内容扩充
因自身技术有限，只能尽自身所能翻译国外技术文章，供大家学习，若有不当或可完善的地方，希望可以指出，用于共同完善这篇文章。

目录

• 所使用的网络检测方法

• 1. 具体的网络属性

• 1.1. 检查MAC地址是否是特定的

• 1.2. 检查适配器名称是否是特定的

• 1.3. 检查网络共享的提供者的名称是否是特定的

• 2. 检查网络是否属于安全范围

• 3. 基于NetValidateName结果的反伪装技术

• 4. 基于Cuckoo ResultServer连接的反伪装技术

• 识别标志：

• 反制措施

• 归功于

int pafish_check_mac_vendor(char * mac_vendor) {
    unsigned long alist_size = 0, ret;
    ret = GetAdaptersAddresses(AF_UNSPEC, 0, 0, 0, &alist_size);
 
    if (ret == ERROR_BUFFER_OVERFLOW) {
        IP_ADAPTER_ADDRESSES* palist = (IP_ADAPTER_ADDRESSES*)LocalAlloc(LMEM_ZEROINIT,alist_size);
        void * palist_free = palist;
 
        if (palist) {
            GetAdaptersAddresses(AF_UNSPEC, 0, 0, palist, &alist_size);
            char mac[6]={0};
            while (palist){
                if (palist->PhysicalAddressLength == 0x6) {
                    memcpy(mac, palist->PhysicalAddress, 0x6);
                    if (!memcmp(mac_vendor, mac, 3)) {  /* First 3 bytes are the same */
                        LocalFree(palist_free);
                        return TRUE;
                    }
                }
                palist = palist->Next;
            }
            LocalFree(palist_free);
        }
    }
 
    return FALSE;
}

此代码样本的作者：pafish项目
代码样本(函数etAdaptersInfo)：

BOOL check_mac_addr(TCHAR* szMac)
{
    BOOL bResult = FALSE;
    PIP_ADAPTER_INFO pAdapterInfo;
    ULONG ulOutBufLen = sizeof (IP_ADAPTER_INFO); 
    pAdapterInfo = (PIP_ADAPTER_INFO) MALLOC(sizeof(IP_ADAPTER_INFO));
 
    if (pAdapterInfo == NULL)
    {
        _tprintf(_T("Error allocating memory needed to call GetAdaptersinfo.\n"));
        return -1;
    }
 
    // Make an initial call to GetAdaptersInfo to get the necessary size into the ulOutBufLen variable
    if (GetAdaptersInfo(pAdapterInfo, &ulOutBufLen) == ERROR_BUFFER_OVERFLOW) 
    {
        FREE(pAdapterInfo);
        pAdapterInfo = (PIP_ADAPTER_INFO) MALLOC(ulOutBufLen);
        if (pAdapterInfo == NULL) {
            printf("Error allocating memory needed to call GetAdaptersinfo\n");
            return 1;
        }
    }
 
    // Now, we can call GetAdaptersInfo
    if (GetAdaptersInfo(pAdapterInfo, &ulOutBufLen) == ERROR_SUCCESS)
    {
        // Convert the given mac address to an array of multibyte chars so we can compare.
        CHAR szMacMultiBytes [4];
        for (int i = 0; i < 4; i++) {
            szMacMultiBytes[i] = (CHAR)szMac[i];
        }
        while(pAdapterInfo)
        {
            if (pAdapterInfo->AddressLength == 6 && !memcmp(szMacMultiBytes, pAdapterInfo->Address, 3))
            {
                bResult = TRUE;
                break;
            }
            pAdapterInfo = pAdapterInfo->Next;
        }
    }
 
    return bResult;
}

此代码样本的作者：al-khaser项目
检测表：

1.2. 检查适配器名称是否是特定的
使用的函数：

• GetAdaptersAddresses(AF_UNSPEC, ...)
• GetAdaptersInfo
  

代码样本(函数GetAdaptersAddresses)：

int pafish_check_adapter_name(char * name) {
    unsigned long alist_size = 0, ret;
    wchar_t aux[1024];
 
    mbstowcs(aux, name, sizeof(aux)-sizeof(aux[0]));
    ret = GetAdaptersAddresses(AF_UNSPEC, 0, 0, 0, &alist_size);
 
    if (ret == ERROR_BUFFER_OVERFLOW) {
        IP_ADAPTER_ADDRESSES *palist = (IP_ADAPTER_ADDRESSES *)LocalAlloc(LMEM_ZEROINIT, alist_size);
        void * palist_free = palist;
        if (palist) {
            if (GetAdaptersAddresses(AF_UNSPEC, 0, 0, palist, &alist_size) == ERROR_SUCCESS) {
                while (palist) {
                    if (wcsstr(palist->Description, aux)) {
                        LocalFree(palist_free);
                        return TRUE;
                    }
                    palist = palist->Next;
                }
            }
            LocalFree(palist_free);
        }
    }
 
    return FALSE;
}

此代码样本的作者：pafish项目
代码样本(函数GetAdaptersInfo)：

BOOL check_adapter_name(TCHAR* szName)
{
    BOOL bResult = FALSE;
    PIP_ADAPTER_INFO pAdapterInfo;
    ULONG ulOutBufLen = sizeof(IP_ADAPTER_INFO);
    pAdapterInfo = (PIP_ADAPTER_INFO)MALLOC(sizeof(IP_ADAPTER_INFO));
 
    if (pAdapterInfo == NULL)
    {
        _tprintf(_T("Error allocating memory needed to call GetAdaptersinfo.\n"));
        return -1;
    }
 
    // Make an initial call to GetAdaptersInfo to get the necessary size into the ulOutBufLen variable
    if (GetAdaptersInfo(pAdapterInfo, &ulOutBufLen) == ERROR_BUFFER_OVERFLOW)
    {
        FREE(pAdapterInfo);
        pAdapterInfo = (PIP_ADAPTER_INFO)MALLOC(ulOutBufLen);
        if (pAdapterInfo == NULL) {
            printf("Error allocating memory needed to call GetAdaptersinfo\n");
            return 1;
        }
    }
 
    if (GetAdaptersInfo(pAdapterInfo, &ulOutBufLen) == ERROR_SUCCESS)
    {
        while (pAdapterInfo)
        {
            if (StrCmpI(ascii_to_wide_str(pAdapterInfo->Description), szName) == 0)
            {
                bResult = TRUE;
                break;
            }
            pAdapterInfo = pAdapterInfo->Next;
        }
    }
 
    return bResult;
}

此代码样本的作者：al-khaser项目
检测表：

1.3. 检查网络共享的提供者的名称是否是特定的
使用的函数（见关于本地函数的注释）：

• WNetGetProviderName(WNNC_NET_RDR2SAMPLE, ...)
  

代码样本：

int vbox_network_share() {
    unsigned long pnsize = 0x1000;
    char provider[pnsize];
 
    int retv = WNetGetProviderName(WNNC_NET_RDR2SAMPLE, provider, &pnsize);
    if (retv == NO_ERROR) {
        if (lstrcmpi(provider, "VirtualBox Shared Folders") == 0)
            return TRUE;
        else
            return FALSE;
    }
 
    return FALSE;
}

此代码样本的作者：pafish项目
检测表：

2. 检查网络是否属于安全范围
恶意软件向https[:]//www.maxmind.com/geoip/v2.1/city/me 发出请求，这通常需要某种认证或API密钥。为了绕过这一要求，恶意软件通过将HTTP Referrer设置为https[:]//www.maxmind.com/en/locate-my-ip-address，将User-Agent设置为Mozilla/5.0（兼容；MSIE 10.0；Windows NT 6.1；Trident/6.0），使请求看起来像是来自该网站本身。这个技巧允许样本检索它所运行的机器的IP地址信息。

响应以JSON格式返回，包含国家、城市的信息，最重要的是，与IP地址相关的组织。如果在响应中发现一些 "坏 "字符串，恶意软件就知道它是在某种安全边界/组织内启动的。
实例

• 反虚拟机的技巧
• 恶意宏添加沙盒规避技术以进行分发  new Dridex
• 恶意的带有宏的文件 规避自动分析系统
  

恶意软件样本中的“包含恶意的字符串”(固定大小写):

Amazon
anonymous
BitDefender
BlackOakComputers
Blue Coat
BlueCoat
Cisco
cloud
Data Center
DataCenter
DataCentre
dedicated
ESET, Spol
FireEye
ForcePoint
Fortinet
Hetzner
hispeed.ch
hosted
Hosting
Iron Port
IronPort
LeaseWeb
MessageLabs
Microsoft
MimeCast
NForce
Ovh Sas
Palo Alto
ProofPoint
Rackspace
security
Server
Strong Technologies
Trend Micro
TrendMicro
TrustWave
VMVault
Zscaler

3. 基于NetValidateName结果的反伪装技术
最初，这种技术是为绕过AV检测而设计的。它本身并不是一种规避技术--相反，而是在调用函数后滥用有趣的副作用。
主要的想法是使用NetValidateName API函数调用的确定结果，将无效的参数作为服务器名称（例如 "123"）来动态地计算跳转地址。这个跳转通常指向某些指令的中间，以绕过AV软件的启发式分析。但这种技术也有（至少）一个副作用。
如果在操作系统中设置了默认的NetBiOS设置（NetBIOS over TCP/IP被启用），返回代码总是等于ERROR_BAD_NETPATH（0x35）。
如果关闭了TCP/IP上的NetBIOS，那么返回代码是ERROR_NETWORK_UNREACHABLE（0x4CF）。
因此，跳转地址将被错误地计算，这将导致样本崩溃。因此，这个技术可以用来破解沙盒中的伪装，在沙盒中，TCP/IP上的NetBIOS被关闭，以防止操作系统产生垃圾流量。
注意：关闭TCP/IP上的NetBIOS是为了在通过DNS解析服务器IP时不产生额外的网络请求。关掉这个选项会取消本地网络的查询请求。
代码样本 (函数GetAdaptersAddresses)：

void EntryPoint(void)
{
    HANDLE NetApi32 = LoadLibraryW(L"netapi32.dll");
    TD_NetValidateName NetValidateName = (TD_NetValidateName)GetProcAddress(NetApi32, "NetValidateName");
    DWORD Result = NetValidateName(L"123", L"", L"", L"", 1);
 
    __asm
    {
        call dword ptr ds:[GetLastError]
        add eax, offset TrueEntryPoint
        sub eax, 0xCB  // ERROR_ENVVAR_NOT_FOUND
        call eax
    }
}

4. 基于Cuckoo ResultServer连接的反伪装技术
这项技术可用于检测Cuckoo沙盒虚拟环境。恶意软件列举了所有已建立的出站TCP连接，并检查是否有连接到Cuckoo ResultServer使用的特定TCP端口（2042）。

识别标志
别标志对每种技术都是通用的：钩住使用的函数并跟踪它是否被调用。例如，很难说出应用程序为什么要获取适配器名称。这并不一定意味着应用规避技术。所以在这种情况下，最好的办法是拦截目标函数并跟踪其调用。
反制措施

• 与检查网络参数的对比：为虚拟环境更改；
• 与检查安全周长相比：以适当的方式模拟网络响应；
• 与NetValidateName基于结果的技术相比：通过TCP/IP打开NetBIOS；
• 与基于Cuckoo ResultServer连接的技术相比：在Cuckoo配置中改变ResultServer端口。
  

归功于
归功于开源项目，代码样本取自该项目

• github上的pafish项目
• github上的al-khaser项目
  

尽管Check Point工具InviZzzible已经实现了所有这些功能，但由于代码的模块化结构，需要更多的空间来展示这个工具的代码样本，以达到相同的目的。这就是为什么我们决定在整个百科全书中使用其他伟大的开源项目作为例子。

版权声明：本文由 梦幻的彼岸 原创，欢迎分享本文，转载请保留出处