LOLBins免杀技术研究及样本分析

一、前言

自病毒木马诞生起，杀毒软件与病毒木马的斗争一直都没有停止过。从特征码查杀，到现在的人工智能查杀，杀毒软件的查杀技术也是越来越复杂。但是病毒木马却仍然层出不，这是因为大部分病毒木马使用了免杀技术。

免杀技术全称为反杀毒技术（Anti Anti-
Virus），简称“免杀”，指的是一种能使病毒木马免于被杀毒软件查杀的技术。不管是钓鱼攻击，还是Web渗透，对使用的病毒木马进行免杀处理，都是必不可少的操作。

在某次网络攻防演练期间，我们捕获了一个免杀样本，主要使用了“LOLBins”免杀技术。 这篇文章将对该样本进行分析，以此揭开此类免杀技术的神秘面纱。

二、LOLBins概述

LOLBins，全称为“Living-Off-the-Land Binaries”，这个概念最初在2013年DerbyCon黑客大会由Christopher
Campbell和Matt Graeber创造，最终由Philip
Goh提出。指的是在目标操作系统上运行受信任的合法进程来执行恶意活动，例如横向移动、权限提升和远程控制等。

通俗来讲，就是大家所熟悉的“白名单”免杀技术。比如常见的Powershell.exe、Certutil.exe和Mshta.exe等程序，都属于LOLBins范畴。在一些APT攻击中，也可以看到使用LOLBins免杀技术进行攻击的活动。比如，海莲花APT组织曾使用微软操作系统自带的程序MSBuild.exe运行远程控制木马，达到免杀的效果。为了达到比较好的免杀效果，LOLBins的选取是有一定要求的。一般来说，需要包含如下特征：

1. 带有Microsoft签名或者第三方签名的程序。

2. 具有可被用于利用的功能（比如上传、下载和代码执行等）。

三、免杀原理

LOLBins为什么可以达到免杀效果？

在解答这个问题之前，我们先了解下杀毒软件的查杀原理。一般来说，杀毒软件对一个文件会采用多种方法进行查杀。大约可以分为两大类：静态查杀和行为查杀。

静态查杀 主要包含病毒特征码、文件属性（HASH、图标、开发者信息）等查杀，指未运行样本采用的文件扫描技术； 行为查杀
主要包含沙箱模拟执行、主动防御和人工智能等查杀，是基于程序行为进行分析判断，多端联动的查杀技术。例如，样本刚“落地”就被杀毒软件查杀了，说明被静态查杀了；如果样本运行起来了，执行某些操作时被查杀了，说明此时样本的危险行为被杀毒软件检测到了。

为什么LOLBins文件可以实现免杀？
这是因为LOLBins一般是正常的程序，对杀毒软件而言，是可信任的程序，所以基本上可以躲过杀毒软件的静态查杀。至于行为查杀，每种杀毒软件的实现、查杀策略多有不同。有的只要是可信任的程序，即使有高危行为也不予查杀；有的则相反，不管是不是可信任的程序，只要有高危行为，也会被查杀。

总的来说，从以下几个方面进行处理，可以实现较好的免杀效果：

1、文件特征

2、内存特征

3、程序行为

4、网络通信

选用LOLBins程序，基本不用考虑文件特征，直接静态免杀，这个是比较好的免杀思路。如果使用流行的黑客工具或者木马，需要对内存中的代码进行加花、混淆，避免内存特征被检测到。对于程序的行为，需要对选取的LOLBins程序进行测试，如果高危行为被查杀了，可以考虑使用其他的LOLBins程序执行高危操作。

网络通信数据避免使用明文，使用加密算法等进行加密，远程服务器尽量伪装为正常的服务器，必要时可以采用CDN，域前置，云函数等手法隐藏服务器IP。

试想，整个恶意活动全程使用LOLBins，形成LOLBins利用链，杀毒软件会报毒吗？

四、逆向分析

到目前为止，我们已经知道如何免杀的理论知识了。那么接下来逆向分析这个免杀样本，并借鉴它的方法，自己动手实现免杀。

样本名为LiveUpdate.exe，MD5:9050ac019b4c8dddbc5e250bb87cf9f2，这是NetSarang公司XSHELL、XFTP、XMANAGER、XLPD系列工具的更新程序，数字签名正常，如下图所示：

该样本早在2020年被上传到某些在线威胁情报平台进行检测，可能很早就被作为LOLBins进行利用，如下图所示：

样本运行后，会加载同目录下后缀为dat的同名文件，也就是LiveUpdate.dat，然后解密该文件，解析其中的脚本代码并执行，完成软件更新。LiveUpdate.dat实际上是一个zip压缩文件，解压密码为99B2328D3FDF4E9E98559B4414F7ACB9，如下图所示：

解压成功后，得到5个文件：_TUProj.dat、_TUProjDT.dat、IRIMG1.JPG、IRIMG2.JPG、IRIMG3.JPG、和IRIMG4.JPG。执行的脚本在_TUProj.dat文件中，如下图所示：

可以看出，这是Lua脚本语言。这个更新程序实际上是一个Lua脚本解析执行引擎，可以自定义Lua代码，实现文件上传、下载，进程管理，注册表管理，服务管理，命令执行等功能，完全可以作为LOLBins，实现免杀。

样本中将CS远程控制木马的Shellcode转化为数字存放在数组中，如下图所示：

然后使用DLL.CallFunction函数调用Windows原生API函数VirtualAlloc，在内存中申请新的空间存放木马的Shellcode，如下图所示：

最后调用CreateThread函数创建新线程运行木马Shellcode，实现远程控制的功能。其中还加入了正常的网络请求，混淆网络通信，如下图所示：

五、免杀测试

按照逆向分析结果和免杀原理，我们同样使用CS木马的Shellcode进行免杀测试。首先解压LiveUpdate.dat得到_TUProj.dat文件，然后修改其中的Lua代码，将混淆后的shellcode转换为数字存放在数组中，创建新线程运行。接着再将修改后的_TUProj.dat文件替换LiveUpdate.dat中的_TUProj.dat文件。最后再运行LiveUpdate.exe，实现加载LiveUpdate.dat，运行其中包含的Shellcode，如下图所示：

测试国内主流杀毒软件，静态全部免杀，运行后上线成功，执行注入等高危操作也全部免杀，免杀效果较好，如下图所示：

六、总结

基于LOLBins的攻击方法近年来在APT攻击中愈发常见，结合其他免杀技术，免杀效果极好，很难被检测和查杀。杀毒软件也应更新查杀手段，多角度对基于LOLBins的攻击行为进行定向、深入查杀。

七、参考链接

1. https://www.anquanke.com/post/id/87299/

2. https://github.com/LOLBAS-Project/LOLBAS

3. <https://www.cynet.com/attack-techniques-hands-on/what-are-lolbins-and-how-
   do-attackers-use-them-in-fileless-attacks/>

原文链接

655d93d065350149453c708ca3920161026658da776b17db3d4795423486a838d&token=1833182322&lang=zh_CN#rd)

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。