一、简介

自从病毒木马诞生以来，杀毒软件与病毒木马之间的战斗就从未停止过。 从签名扫描到人工智能扫描，杀毒软件的扫描技术变得越来越复杂。 然而，病毒木马仍然层出不穷。 这是因为大多数病毒木马都采用了反病毒技术。

防病毒技术全称（Anti Anti-Virus），简称“防病毒”，是指能够防止病毒、木马被防病毒软件检测并查杀的技术。 无论是网络钓鱼攻击还是Web渗透，避免查杀所使用的病毒、木马都是至关重要的。

在某次网络攻防演习中，我们捕获到一个反病毒样本，该样本主要采用了“LOLBins”反病毒技术。 本文将通过分析样本来揭开此类防病毒技术的神秘面纱。

2. LOLBins概述

LOLBins，全称“Living-Off-the-Land Binaries”，最初是 Christopher Campbell 和 Matt Graeber 在 2013 年 DerbyCon 黑客大会上提出的概念，最终由 Philip Goh 提出。 它是指在目标操作系统上运行受信任的合法进程来执行恶意活动，例如横向移动、权限提升和远程控制。

通俗地说，就是大家熟悉的“白名单”防病毒技术。 例如，常见的Powershell.exe、Certutil.exe、Mshta.exe等程序都属于LOLBins的范畴。 在一些APT攻击中，还可以看到使用LOLBins防病毒技术的攻击。 例如，OceanLotus APT组织曾利用微软操作系统自带的程序MSBuild.exe运行远程控制木马进行免杀。 为了达到更好的防杀效果，对LOLBins的选择有一定的要求。 一般来说，需要包括以下功能：

1) 由微软签名或由第三方签名的程序。

2）具有可被利用的功能（如上传、下载、代码执行等）。

三、免杀原则

为什么LOLBins能够达到反杀的效果？

在回答这个问题之前，我们先来了解一下杀毒软件的扫查原理。

一般来说，杀毒软件会使用多种方法来扫描并查杀一个文件。 大致可以分为两类：静态杀戮和行为杀戮。

静态扫描主要包括病毒特征码、文件属性（HASH、图标、开发者信息）等，是指针对未运行的样本所采用的文件扫描技术；

行为扫描主要包括沙箱模拟执行、主动防御和人工智能扫描。 是一种基于程序行为分析判断、多终端联动的扫查技术。

例如，如果样本一“启动”就被杀毒软件查杀，则说明该样本已被静态查杀； 如果样本正在运行，并且在执行某些操作时被查杀，则说明此时样本的危险行为已经被杀毒软件检测到。 。

为什么LOLBins文件可以免杀？

这是因为LOLBins一般都是正常程序，是杀毒软件值得信赖的程序，所以基本上可以逃脱杀毒软件的静态扫描。 对于行为扫描查杀，各个杀毒软件的实现和扫描策略是不同的。 有些程序只要是值得信赖的程序，即使有高危行为也不会被检查； 有的则相反，无论是否值得信赖的程序，只要有高危行为，就会被查杀。

一般来说，通过以下几个方面的处理可以达到较好的防杀效果：

1. 文件特征

2. 内存特性

3. 程序行为

4、网络通讯

使用LOLBins程序时，基本上不需要考虑文件特性，直接静态防病毒保护。 这是防病毒保护的更好主意。 如果使用流行的黑客工具或木马，则需要在内存中添加并混淆代码，以避免内存特征被检测到。 关于程序的行为软件免杀，需要测试所选的LOLBins程序。 如果检测到高危行为，可以考虑使用其他LOLBins程序来执行高危操作。

网络通信数据应避免使用明文，而应使用加密算法进行加密。 远程服务器应该尝试将自己伪装成普通服务器。 必要时可以采用CDN、域名前置、云功能等方法来隐藏服务器IP。

试想一下，如果整个恶意活动都使用LOLBins，形成LOLBins利用链，杀毒软件会报告病毒吗？

4、逆向分析

到目前为止，我们已经知道了如何避免杀戮的理论。 然后逆向分析这个防病毒样本，借鉴其方法，实现自己防病毒。

样本名称为 LiveUpdate.exe，MD5:9050ac019b4c8dddbc5e250bb87cf9f2。 这是NetSarang的XSHELL、XFTP、XMANAGER和XLPD系列工具的更新程序。 数字签名正常，如下图：

该样本早在2020年就被上传到一些在线威胁情报平台进行检测，很可能很早就被作为LOLBins利用，如下图所示：

样本运行后，会加载同一目录下后缀为dat的同名文件，即LiveUpdate.dat。 然后该文件将被解密，其中的脚本代码将被解析并执行以完成软件更新。 LiveUpdate.dat实际上是一个zip压缩文件，解压密码为99B2328D3FDF4E9E98559B4414F7ACB9，如下图：

解压成功后，得到5个文件：_TUProj.dat、_TUProjDT.dat、IRIMG1.JPG、IRIMG2.JPG、IRIMG3.JPG、IRIMG4.JPG。 执行的脚本位于_TUProj.dat文件中，如下图：

可以看出，这就是Lua脚本语言。 这个更新程序实际上是一个Lua脚本解析和执行引擎，可以自定义Lua代码来实现文件上传、下载、进程管理、注册表管理、服务管理、命令执行等功能。 它可以用作LOLBins以避免被杀。

样本中，CS远程控制木马的Shellcode被转换为数字并存储在数组中，如下图所示：

然后使用DLL.CallFunction函数调用Windows原生API函数VirtualAlloc，在内存中申请新的空间来存放木马Shellcode，如下图所示：

最后调用CreateThread函数创建一个新的线程来运行木马Shellcode，实现远程控制功能。 还添加了普通的网络请求来混淆网络通信，如下图所示：

5. 抗杀伤测试

根据逆向分析结果和反病毒原理软件免杀，我们还利用CS木马的Shellcode进行反病毒测试。 首先解压LiveUpdate.dat得到_TUProj.dat文件，然后修改其中的Lua代码，将混淆后的shellcode转换为数字并存储在数组中，并创建一个新的线程运行。 然后将 LiveUpdate.dat 中的 _TUProj.dat 文件替换为修改后的 _TUProj.dat 文件。 最后运行LiveUpdate.exe加载LiveUpdate.dat并运行其中包含的Shellcode，如下图所示：

测试国内主流杀毒软件，所有静态杀毒软件均豁免，在线运行成功。 注入等高危操作也是在没有杀毒软件的情况下进行的。 防病毒效果不错，如下图：

六、总结

近年来，基于LOLBins的攻击方式在APT攻击中越来越常见。 与其他防病毒技术相结合，防病毒效果极佳，难以查杀。 防病毒软件也应该更新检测方法，从多个角度对基于LOLBins的攻击进行有针对性的深度检测。

7. 参考链接