Solarmarker挖坟老病毒技术

admin
admin
admin
140018
文章
114
评论
2025年2月20日19:40:29评论5 views字数 1496阅读4分59秒阅读模式
Solarmarker是去年出现的病毒家族,通过恶意文件老套路的传播技术SEO Poisoning(搜索引擎优化中毒)传播,据外媒披露,Solarmarker利用 SEO 关键词和链接来“填充”数以千计的 PDF 文档用于传播自身,执行RAT功能。

Solarmarker挖坟老病毒技术

图1 Solarmarker病毒文件图标

本文所获取到的样本图标均为PDF文件图标,Solarmarker恶意文件自身捆绑了合法的具备合并PDF文件的pdfmerge应用程序,用于迷惑被感染用户

Solarmarker挖坟老病毒技术

图2 被捆绑的正常应用程序

笔者获取到的Solarmarker挖坟了曾经2011年左右对抗云查杀的压缩炸弹技术,并使用了合法的数字证书,使得VT上检测率极差,如果编译时间为真实的,那么病毒作者为此可能已经蓄谋了七个月之久,那么可以理解使用压缩炸弹主要目的是为了保护其数字证书不被安全厂商截获而被吊销。

Solarmarker挖坟老病毒技术

图3 Solarmarker解压前后的大小对比

Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图4 Solarmarker编译时间与合法数字签名信息

Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图5 Solarmarker在VT上的检测率

据相关恶意样本共享平台数据进行分析,倒推Solarmarker上传时间在2021年11月15日开始使用压缩炸弹技术对其利用的合法数字证书进行保护。截至目前,依然有两枚被恶意利用的数字证书未被吊销,其中一枚在2021年8月份就已经被颁发,可见合法数字证书的被陆续恶意利用的十年一直限制了主流安全软件检测能力的想象。

Solarmarker挖坟老病毒技术

图6 最早应用压缩炸弹技术的Solarmarker样本

Solarmarker挖坟老病毒技术

图7 陆续获取到的其他使用了压缩炸弹技术的Solarmarker样本
再此表扬一下当年微点小黑屋老曹同志在2011年编写的大病毒专杀工具对此依旧管用Solarmarker挖坟老病毒技术

Solarmarker挖坟老病毒技术

图8 早年微点专杀工具可检测与清除相关病毒

Solarmarker挖坟老病毒技术

图9 早年大病毒的相关行为

未知威胁检测引擎针对相关压缩炸弹的检测规则名称为Malware.MSIL.X-Threat.e,将在本月版本规则内更新。

Solarmarker挖坟老病毒技术

图10 未知威胁检测引擎针对相关逻辑的检测名称

IOCs

专杀工具下载链接:http://localdown.micropoint.com.cn/avtools/A00000018/BigVirKiller.zip

样本md5:

0fa1be2db15ef78a9e01b21589204615

c7f29f78cee87f7cba5821e10e1bf5b8

fed94e322ab7d95e631bdbda6be36718

8a0c80350f1e41cfda8770b15d6a7f99 

7194384ed0ce511e24b0e119d0d068f6

fa96f5ddcf66db5c3807d58631f21d61

d4040f90605244c384a5715bc28262ac

c7f29f78cee87f7cba5821e10e1bf5b8

153883daf4c43e0a5d57bddd247cd14f

d4040f90605244c384a5715bc28262ac

9f1f691b5e2da2e85b55087637b37964

数字证书md5(部分已经被吊销)

e18e42f9fd9fcbeddd06d8ff364ab47a

bf46f216af21f528181f6de78a61c1a9

3c829e7881bca211c4918d66c3266504

040ffa4ea1a5b56c30a74c628819cfec

f1a0c275f95e7b0c97c7a91355aa241d

496d903d5ffb2ab64a03ee9bcfa4323b

原文始发于微信公众号(锐眼安全实验室):Solarmarker挖坟老病毒技术

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月20日19:40:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Solarmarker挖坟老病毒技术https://cn-sec.com/archives/906279.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息