一种在恶意软件中常见的字符串和Payload混淆技术


发布人:admin分类:网络安全浏览量:41发布时间:2017-12-12

我最近研究了一个来自客户提交的恶意软件。SHA-256为:

f4d9660502220c22e367e084c7f5647c21ad4821d8c41ce68e1ac89975175051

从技术角度来看,这并不是一个复杂的恶意软件。但是它说明了一些恶意软件作者最常用的用于反动态(自动)和静态(手动)分析的技术。

为了检测动态分析环境,它会检测下列程序列表:

OLLYDBG
W32DASM
WIRESHARK
SOFTICE
PROCESS EXPLORER
PROCESS MONITOR
PROCESS HACKER

该恶意软件列举了被感染系统上的所有窗口,如果发现其中任何一个属于上面列出的程序之一,恶意软件将进入一个循环并等待程序退出。这是一个很基本的技术,但是用代码实现起来相当容易和简单。

针对静态分析,该恶意软件使用了两个其他的技术:

1.在恶意软件中使用自定义的加密方案对任何明显的字符串进行加密。这对恶意软件作者和安全分析师有以下含义:
C&C域名可以被硬编码在恶意软件中。对恶意软件编写者来说没有必要生成域名生成算法(DGA)。这些DGA很合适作为签名的候选人,并且恶意软件编写者在某些情况下会蒙受显著的“维修”成本来不断变化DGA。
所使用的恶意软件应用程序编程接口(API)在运行时会被解析;并且这些API的名称会在运行时被解密。这意味着安全分析师只有理解了加密方案后静态分析才变得有意义。
 
2.与C&C服务器通信使用了自定义的加密方案:
恶意软件与C&C服务器通信时,在常规的HTTP协议之上使用了自定义的加密/混淆技术。

现在,让我们深入的了解一下字符串的加密方案。例如,让我们来看看下面的字符串:

UHEOtTKwmsDb1J/2f8l/5w==

这看起来似乎是Base64编码,但是加密方案要稍微复杂一些。首先,恶意软件从硬编码的数据中生成密钥。密钥的生成步骤如下:

1.取硬编码字符串:

2.对1中的字符串进行Base64编码:

3.对2中的字符串进行MD5加密:

4.接着,恶意软件会计算下列硬编码字符块的MD5值:

5.MD5值为:

6.将第3步和第5步得到的MD5散列进行联接:

7.第6步中的字符串的MD5值将被用于微型加密算法(TEA)的key:


到此,准备工作已经完成,恶意软件准备解密字符串。

解密算法如下:

1.将加密的字符串-例如,“UHEOtTKwmsDb1J/2f8l/ 5W==”传参到一个可能是base64的函数。

2.使用TEA解密第1步中得到的结果,解密的key就是上面加密过程中第7步生成的key。

3.最终使用简单的循环获得解密的字符串:

4.解密后的字符串如下:

PAYLOAD分为收集关于系统的数据和通过硬编码字符串从“.DATA”节分离。这是恶意软件使用的一个非常标准的方案。

PAYLOAD生成方案如下所述:

1.创建一个伪随机串并用“&”连接 – 例如:

2.添加主机名称和PID:

3.创建一个伪随机串并用硬编码值连接:

4.将上面的字符串联接在一起:

5.之后再添加硬编码数据:

6.取"密钥生成步骤"中第5步中MD5散列的子字符串:

7.在第5步的字符串后面添加上一步的子字符串:

8.添加操作系统主/次版本和构建信息:

9.添加区域信息:

10.添加内存大小和时间信息:

将最终得到的PAYLOAD进行如下算法编码:

1.用"Dm1cL"字符串作为PAYLOAD的头部。

2.生成一个随机的key进行xor。

3.进行HTML-escaped编码。

被异或和escaped编码后的数据如下:

总结

首先,在许多现代恶意软件的家族中都可以发现与上述相同的技术的变种。这使得恶意软件作者能够一杆命中三个目标。这是一个非常简单的加密方案,并在恶意软件作者这一方面提供了不错的设计,这使得恶意软件作者能够相对有效的去改变它。其次,它的动态和静态分析稍微有些复杂。最后,它提供了一个有效的工具来创建同一种恶意软件的新变种,而且能够绕过杀毒引擎的特征。

相关的恶意软件的文件哈希,恶意域名和IP地址的集合可在X-Force Exchange找到。此外,下面提供了恶意软件中硬编码的C&C域名列表:

“76TtKl8ZwW6MU29wmPDtT1QNcj5UDbqn/KIVj42N4ZYkZEPTS6ByTw==” / “hxxp[:]//www[.]n-fit-sub.com/ec/index[.]php”


*参考来源:securityintelligence,编译/丝绸之路,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21395543(PV) 页面执行时间:71.588(MS)
  • xml
  • 网站地图