一、概述

天穹沙箱正式推出内核行为深度追踪功能,以应对近期日益增多的内核级恶意驱动样本。这类样本通常借助合法驱动加载机制或系统漏洞,在内核层实施恶意操作,给分析工作带来极大挑战。

借助这一新功能,天穹沙箱在动态分析样本时,实时监控驱动加载、内核对象操作及跨进程注入等底层行为,有效绕过混淆,还原样本的真实行为。当前,Windows 分析环境已支持该深度分析能力,显著增强了对 Rootkit 和内核级木马的告警能力。

二、检测能力展示

样本一

该样本利用内核态组件向系统临时目录释放恶意文件,再通过远程线程注入与内存解密技术,将有效载荷注入系统关键进程,从而实现持久化驻留与命令控制通信。此类攻击具备内核级权限、无文件落地及多层混淆等特性,令传统静态检测手段难以有效识别。

样本信息

  • 样本名: 40270b20bd748bf333c034b8e5e59e19.sys
  • SHA1: 142a2b980063badc536c20fc11d77716ac868d62
  • 文件类型: SYS
  • 文件大小:754.34 KB (772448 bytes)
  • 分析报告链接: 天穹沙箱分析报告
  • 签名信息:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    Verified:       Signed
    Signing date:   23:33 2025/6/9
    Publisher:      山西荣**科贸有限公司
    Company:        Windows (R) Win 7 DDK provider
    Description:    z_driver Filter Driver
    Product:        Windows (R) Win 7 DDK driver
    Prod version:   10.0.10011.16384
    File version:   10.0.10011.16384
    MachineType:    64-bit

攻击手法

基于天穹沙箱动态行为监控,该样本的攻击流程如下:

1. 文件释放阶段

恶意内核驱动加载后,调用内核文件操作接口,将三个关键组件 vminstd.tmp、wdscore.dll、rundll32.exe 释放至 C:\Windows\Temp 目录,如图 1 所示。

write_file

图1 释放文件

2. 注入执行阶段

枚举内核级进程,精确搜索并定位至系统关键进程 services.exe。该进程作为服务控制管理器,具有较高运行权限且常被安全策略豁免,适合作为注入目标。利用内核 API(如 KeAttachProcess 或直接操作进程对象 EPROCESS)将当前执行上下文附加到已定位的 services.exe 进程中,获得对该进程内存空间及线程操控的访问能力,如图 2 所示。

在已附加的进程环境中,通过 NtCreateThreadEx 在 services.exe 内部创建一个远程线程。设置线程的起始地址为 WinExec 函数的入口点,并将线程参数指向要执行的命令行 C:\Windows\Temp\rundll32.exe,实现用户态载荷的隐蔽启动。

remote_thread_inject

图2 内核注入进程

3. 内存解密与二次注入

rundll32.exe 启动后读取同目录下的 vminstd.tmp 文件,在内存中完成解密操作,获取最终 PE 载荷。随后通过进程注入技术,将解密后的载荷写入 C:\Windows\system32\svchost.exe -k regsvcs 进程空间,借助系统服务进程实现权限维持与流量混淆,如图 3 所示。

second_inject

图3 最终载荷注入

4. C2通信阶段

解密载荷初始化网络模块,通过 HTTP/HTTPS 协议连接 dwav.cose[.]space,上报主机信息并接收后续指令。

样本二

该样本是一类融合了虚拟化保护与内核级 APC 注入技术的高级威胁样本。其使用 VMProtect 加密混淆后加载至内核态,运行时在内存中动态解密执行代码,并通过 KeInsertQueueApc 原语向关键系统进程 winlogon.exe 注入恶意逻辑,最终实现隐蔽的命令控制通信。此类攻击利用内核机制绕过用户态安全检测,具备极强的隐蔽性与对抗能力。

样本信息

  • 样本名: 36eaf1ce966828e226b39003e5405b7ee4688b7a.sys
  • SHA1: 36eaf1ce966828e226b39003e5405b7ee4688b7a
  • 文件类型: SYS
  • 文件大小:110.63 KB (113288 bytes)
  • 分析报告链接: 天穹沙箱分析报告
  • 签名信息:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    Verified:       Signed
    Signing date:   19:19 2018/5/23
    Publisher:      Henan ** Intelligent Technology Co., Ltd.
    Company:        n/a
    Description:    n/a
    Product:        n/a
    Prod version:   n/a
    File version:   n/a
    MachineType:    64-bit

攻击手法

基于天穹沙箱动态行为监控,该样本的攻击流程如下:

1. 驱动加壳与内存解密

恶意驱动文件经 VMProtect 虚拟化保护,静态分析难度极高,如图 4 所示。加载至内核后,驱动在内存中动态解密后续代码段,可规避基于文件特征的静态检测。

vmp_packer_detect

图4 VMP 保护

针对这种加壳的隐匿行为,天穹沙箱具备内核态驱动内存的 Dump 能力,能够捕获驱动运行时的动态解密状态。如图 5 所示,从沙箱动态 dump 出的内存字符串明显比原始文件中的静态字符串更丰富。

search_string

图5 内存 dump 字符串

2. 目标进程定位

样本调用 ZwQuerySystemInformation 获取系统进程信息,遍历进程列表匹配 winlogon.exe 进程并获取其进程 ID;随后通过 PsLookupProcessByProcessId 取得目标进程的对象指针。

3. APC 注入执行

分配内核内存存储恶意 APC 回调函数,初始化 KAPC 结构体,设置 NormalRoutine 指向恶意载荷,调用 KeInsertQueueApc 将 APC 请求插入目标线程队列,如图 6 所示。一旦 winlogon.exe 执行 Sleep 或 WaitForSingleObject 等可警报等待函数,恶意代码即被触发执行。

apc_inject

图6 APC 注入

4. 命令控制通信

恶意载荷完成进程注入后,调用 WinHTTP 组件初始化网络环境,通过 HTTP 协议主动连接远端控制端 pc.589s[.]cn,成功建立 C2 通信链路并执行上线操作。

三、IOC

恶意文件(MD5)

1
2
40270b20bd748bf333c034b8e5e59e19      样本一
67ae545c9a15173615ca55fd4fbb3d54      样本二

恶意文件 IOC

1
2
3
4
5
pc.589s[.]cn
www_rosemarie02_com.589s[.]cn
www_dcsnf_com.589s[.]cn
dwav.cose[.]space
dwns.cose[.]space

报告链接
样本一分析报告链接: 天穹沙箱分析报告
样本二分析报告链接: 天穹沙箱分析报告

四、 技术支持与反馈

星图实验室深耕沙箱分析技术多年,致力于让沙箱更好用、更智能。做地表最强的动态分析沙箱,为每个样本分析人员提供便捷易用的分析工具,始终是我们追求的目标。各位同学在使用过程中有任何问题,欢迎联系我们。