记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一种在恶意软件中常见的字符串和Payload混淆技术

2015-09-07 10:30

我最近研究了一个来自客户提交的恶意软件。SHA-256为:

f4d9660502220c22e367e084c7f5647c21ad4821d8c41ce68e1ac89975175051

从技术角度来看,这并不是一个复杂的恶意软件。但是它说明了一些恶意软件作者最常用的用于反动态(自动)和静态(手动)分析的技术。

为了检测动态分析环境,它会检测下列程序列表:

OLLYDBG
W32DASM
WIRESHARK
SOFTICE
PROCESS EXPLORER
PROCESS MONITOR
PROCESS HACKER

该恶意软件列举了被感染系统上的所有窗口,如果发现其中任何一个属于上面列出的程序之一,恶意软件将进入一个循环并等待程序退出。这是一个很基本的技术,但是用代码实现起来相当容易和简单。

针对静态分析,该恶意软件使用了两个其他的技术:

1.在恶意软件中使用自定义的加密方案对任何明显的字符串进行加密。这对恶意软件作者和安全分析师有以下含义:
C&C域名可以被硬编码在恶意软件中。对恶意软件编写者来说没有必要生成域名生成算法(DGA)。这些DGA很合适作为签名的候选人,并且恶意软件编写者在某些情况下会蒙受显著的“维修”成本来不断变化DGA。
所使用的恶意软件应用程序编程接口(API)在运行时会被解析;并且这些API的名称会在运行时被解密。这意味着安全分析师只有理解了加密方案后静态分析才变得有意义。
 
2.与C&C服务器通信使用了自定义的加密方案:
恶意软件与C&C服务器通信时,在常规的HTTP协议之上使用了自定义的加密/混淆技术。

现在,让我们深入的了解一下字符串的加密方案。例如,让我们来看看下面的字符串:

UHEOtTKwmsDb1J/2f8l/5w==

这看起来似乎是Base64编码,但是加密方案要稍微复杂一些。首先,恶意软件从硬编码的数据中生成密钥。密钥的生成步骤如下:

1.取硬编码字符串:

2.对1中的字符串进行Base64编码:

3.对2中的字符串进行MD5加密:

4.接着,恶意软件会计算下列硬编码字符块的MD5值:

5.MD5值为:

6.将第3步和第5步得到的MD5散列进行联接:

7.第6步中的字符串的MD5值将被用于微型加密算法(TEA)的key:


到此,准备工作已经完成,恶意软件准备解密字符串。

解密算法如下:

1.将加密的字符串-例如,“UHEOtTKwmsDb1J/2f8l/ 5W==”传参到一个可能是base64的函数。

2.使用TEA解密第1步中得到的结果,解密的key就是上面加密过程中第7步生成的key。

3.最终使用简单的循环获得解密的字符串:

4.解密后的字符串如下:

PAYLOAD分为收集关于系统的数据和通过硬编码字符串从“.DATA”节分离。这是恶意软件使用的一个非常标准的方案。

PAYLOAD生成方案如下所述:

1.创建一个伪随机串并用“&”连接 – 例如:

2.添加主机名称和PID:

3.创建一个伪随机串并用硬编码值连接:

4.将上面的字符串联接在一起:

5.之后再添加硬编码数据:

6.取"密钥生成步骤"中第5步中MD5散列的子字符串:

7.在第5步的字符串后面添加上一步的子字符串:

8.添加操作系统主/次版本和构建信息:

9.添加区域信息:

10.添加内存大小和时间信息:

将最终得到的PAYLOAD进行如下算法编码:

1.用"Dm1cL"字符串作为PAYLOAD的头部。

2.生成一个随机的key进行xor。

3.进行HTML-escaped编码。

被异或和escaped编码后的数据如下:

总结

首先,在许多现代恶意软件的家族中都可以发现与上述相同的技术的变种。这使得恶意软件作者能够一杆命中三个目标。这是一个非常简单的加密方案,并在恶意软件作者这一方面提供了不错的设计,这使得恶意软件作者能够相对有效的去改变它。其次,它的动态和静态分析稍微有些复杂。最后,它提供了一个有效的工具来创建同一种恶意软件的新变种,而且能够绕过杀毒引擎的特征。

相关的恶意软件的文件哈希,恶意域名和IP地址的集合可在X-Force Exchange找到。此外,下面提供了恶意软件中硬编码的C&C域名列表:

“76TtKl8ZwW6MU29wmPDtT1QNcj5UDbqn/KIVj42N4ZYkZEPTS6ByTw==” / “hxxp[:]//www[.]n-fit-sub.com/ec/index[.]php”


*参考来源:securityintelligence,编译/丝绸之路,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/system/77244.html

阅读:79048 | 评论:0 | 标签:系统安全 payload 混淆

想收藏或者和大家分享这篇好文章→复制链接地址

“一种在恶意软件中常见的字符串和Payload混淆技术”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云