原文首发出处：

https://xz.aliyun.com/t/14610

先知社区 作者：熊猫正正

近日在微步沙箱平台闲逛的时候，发现一个有意思的样本，如下所示：

沙箱动态检测，相关恶意行为没有跑出来，如下所示：

相关网络行为也没有跑出来，如下所示：

从名字上来看，如果样本是恶意的，猜测这大概率是一个红队样本，但是沙箱没有跑出来，里面肯定包含强对抗技术了，对于这类免杀强对抗型的攻击样本，里面包含很多攻击技术和免杀技术，都值得去深入的分析和研究，从别人的样本中去学习别人的免杀对抗技术。

1.样本伪造成企业微信的安装程序，如下所示：

2.遍历当前目录下的文件个数以及对比文件信息，如果不满足条件，则退出程序，这里有三处比较，如下所示：

3.获取系统最近使用目录下的文件个数，如下所示：

4.如果最近使用目录下的文件个数小于5，或者GetTickCount的值小于0x75300，则退出程序，如下所示：

5.获取时间间隔信息，如果不满足条件，则退出程序，如下所示：

6.遍历系统服务信息，如果发现VMWare或Virtual Box等服务，则退出程序，如下所示：

7.获取系统内存大小，如果不满足条件，则退出程序，如下所示：

8.如果满足条件，则执行下面的操作，如下所示：

9.解密出相应的URL地址，如下所示：

10.然后通过URL向服务器端发起请求，如下所示：

11.解密出相应的URL地址，如下所示：

12.弹出一个迷惑性对话框，如下所示：

13.通过URL从远程服务器上下载加密数据，如下所示：

14.对加密的数据进行解密，解密过程，如下所示：

15.解密之后在指定的目录生成恶意程序，如下所示：

16.生成的恶意程序，如下所示：

17.最后通过ShellExecuteW调用生成的恶意程序，并带参数baidudocument执行，如下所示：

18.恶意程序运行之后，判断是否包含参数，如果不包含，则直接退出，如下所示：

19.解密出解密密钥N0n-FJTiMJa871z，如下所示：

20.通过密钥解密出URL地址，如下所示：

21.通过URL向服务器端发起请求，如下所示：

22.将加密的数据拷贝到内存当中，如下所示：

23.加密的数据硬编码在程序中，如下所示：

24.在内存中解密出ShellCode代码，如下所示：

25.分配内存空间，如下所示：

26.将解密出来的ShellCode代码拷贝到该内存空间当中，如下所示：

27.然后创建线程执行ShellCode代码，如下所示：

28.ShellCode代码，如下所示：

29.远程服务端的IP地址8.138.124.182，如下所示：

30.ShellCode代码匹配到相关的CS特征，如下所示：

通过分析该样本可能为某红队攻击样本，具有强对抗性，加密算法是经过设计的，反沙箱做的也还可以，自动化沙箱没有跑出相关的恶意行为以及C2服务器地址。