👨‍⚕️ 🎙️ 🙅🏾 悪意のあるファイルの簡単な暗号化 🤳🏼 🙈 🚏

こんにちはこれもカスペルスキーのアレクセイ・マラノフです。前回、ウイルスアナリストを雇用した経験について話しましたが、今日は、ウイルスライターが仕事に気付かないようにするために何をするか、そして彼らの仕事が最終的に無駄になるようにするために何をするかについて話します。

一般的に、攻撃者は悪意のあるプログラムを作成します。ほとんどの場合、それは遅かれ早かれウイルスアナリストの「オペレーティングテーブル」に到達することを事前に知っています。そして、マルウェアからのすべての情報は作成者に対して使用できます。なぜ彼は隠す必要がありますか？まあ、まず第一に、あなたの性格。マルウェアでは、C：\ Users \ Vasiliy Ivanov \ Documents \ Visual Studio 2005 \ profits \ trojan \ Release \ trojan.pdbなどの文字列に遭遇することがあります。第二に、マルウェアの分析を容易にする多くの情報があります。ウイルス作成者のテクニックのいくつかを見て、それらがなぜ役に立たないかを見つけましょう。

彼らが隠すもの：

インターネットリンク

Trojan-Downloaderのインスタンスは、主に1つ以上のリンクを介して他のマルウェアをダウンロード/更新します。明らかに、リンクが明示的に保存されている場合、ウイルス対策会社の自動処理システムはリンクを簡単に抽出し、定期的なダウンロードのリストに追加して、これらのリソースへのアクセスを禁止できます。 Trojan-Downloaderの意味は完全に失われます。他のクラスの悪意のあるクラスがモジュールの新しいバージョンをダウンロードすることも一般的です。

コンポーネント

マルウェアは現在、複雑なマルチコンポーネントです。 1つのモジュールは更新を担当し、2番目はルートキットドライバー、3番目はパスワードの収集、4番目はコントロールセンターからのコマンドの受信と結果の送信を担当します。一般的に、これらすべてが1つの「インストーラー」になります。サードパーティの「開発者」の特別なトロイの木馬である場合もあれば、同じ作者の別のコンポーネントである場合もあります。 URLと同様に、内部PE-EXEモジュールをより確実に非表示にできない場合、自動化ツールによって簡単に破棄され、すべてのファイルが自動分析および自動検出のために送信されます。さらに、モジュールの少なくとも1つが悪意のあるものであると判明した場合、パック全体を手動で分析する必要はなく、すべてが正常に検出されます。

パスワード

信じられないかもしれませんが、悪意のあるファイルでは、作成者はパスワードを暗号化しさえします。もちろんそれほど頻繁ではありませんが、実際はそうです。たとえば、Trojan-Spyが多くのスクリーンショットを撮る（または被害者のカメラでビデオを撮る）場合、作成者に素材を配信する通常の方法はFTPにアップロードすることです。ウイルス作成者は、読み取りおよび書き込みアクセス権を持つ1つのアカウントを作成します。そして、だれも彼のFTPをさまようことなく、マルウェアコードに適合するパスワードを設定します。その結果、そこに迷い込むのは誰でもではなく、すべての戦利品を消去して不幸な著者にメモを残す特定の独立した研究者です。これは「コンピューター情報への違法なアクセス」であり、犯罪者だけが声明を書くために実行しないことに注意してください。

別の例は、メールボックスのパスワードです。作成者は、被害者から収集したパスワードを自分で送信する必要があります。しかし、彼のメールボックスが登録されているメールサービスは、理解できない人々への手紙の送信を許可せず、送信時に認証を必要とします。「深刻な」マルウェア、特に銀行情報の盗難を狙っているマルウェアがそれほど間違っていないことは明らかです。対照的に、他の人は自分のコードがアナリストによってレビューされることを意図的に期待する場合があります。今ではほとんどすべてが自動化されていますが、10年前に自分でファイルを分析したときに、サンプル内のウイルスアナリストにこのような魅力に出会いました。「これは誰にも検出されないピンチです。そのままにしておきたいです。このために何もする必要はありません。ありがとう。」

簡単な暗号化：

したがって、結論は次のとおりです。ウイルス作成者は作成物の中に隠すべきものがあり、それを実行しようとしています。 XOR 、 ROLビット操作とは何かをよく理解しており、それらを使用してデータを変換する方法を理解している場合は、このセクション全体をスキップできます。

http：//secret.urlという行があり、コード内で目で見られないようにしたいとします。同時に、復号化アルゴリズムとキーも同じコードに含まれます。これは、この行が必要になるためです。おそらく最も簡単な方法は次のとおりです。

ない

ビットチェーンの形の文字列を想像してください110100001110100 ...各ビットを反対の001011110001011に置き換えます...文字列 " CHLP┼╨╨M "が得られます。現在、肉眼ではそのような線を認識できません。ただし、プログラムで実行できます。ファイル全体にNOT操作を適用してみましょう。暗号化されたものは復号化されます。そして、そうではないものは暗号化されます。結果のファイルでは、URLはオートメーションと目に見えます。

Xor

少し複雑です。暗号化するとき、すべてのビットを反転することはできませんが、たとえば、4回ごとに反転させることができます（だから誰も推測しないように）。このようなビットの反転は、XOR演算とも呼ばれます。 A：= XORキーが書き込まれます。aは変換されるバイトで、 keyはどのビットが変更されるかが書き込まれるキーです。

さらに、NOT演算はa：= a XOR FFと同等です。 16進FFはバイナリ11111111に等しい-各ビットを反転します。

復号化するには、同じキーでデータを再度「突く」必要があります。これが正確にオリジナルであることを確認するために、私は好奇心の強い読者自身に提案します。前の方法とは異なり、この方法では、実行時にデータを復号化する場合、キーをプログラムに保存する必要があることを忘れないでください。また、アナリストは、文字列を解読するためにキーを検索/反復する必要があります。ただし、別の方法がありますが、それについては以下で詳しく説明します。

その他の方法

他にできること：

ADD操作を各バイトに適用します。つまり、特定の数値-キーを追加します
キーをバイトからバイトに変更します。たとえば、最初のバイトはキー71、2番目のバイトは73、3番目のバイトは75などと「“」です。次に、キーを単純にソートすることはできなくなり、2つのキーをソートする必要があり、これは256倍長くなります
キーの長さを増やすことができます。たとえば、4バイトキーで「けんか」する最初のDWORD、それと「けんか」する2番目のDWORDなど。次に、キーなしで復号化するには、40億のオプションを並べ替える必要があります。そして、あなた（またはティアリングプログラム）が探している情報がファイルのどこにあるのか正確にわからない場合は、各バイトをソートする必要があります（マルウェアのサイズは通常数百キロバイトです）
ROL循環シフト操作を各バイトに適用できます。ただし、バイト暗号化でのみ「ロール」が有効なのは1〜7ビットのみです。 8ビットの周期的なバイトシフトにより、同じバイトが得られます。
2回「口論」することができます。ある店員は文字列を暗号化しました。彼にはこれでは十分ではないように思われた。彼は再び同じ鍵で彼女を「ポコルシル」した。これから来たものは、自分で推測してください。
行は逆向きに書くことができます
行はバイト単位で書き込むことができます。 ASCII文字の場合、Unicodeを取得します。
行はアルファベットのフロアに移動できます。つまり、a-> n、b-> o、...、z-> m、0-> 5、1-> 6 ...
16進形式で文字を書く、すなわち687474703A2F2F
文字列をスタックに配置

...

push 'w //：'

「ptth」を押す
そしてそのようなこと

示されたすべての方法は、明らかに、より大きな陰謀のために組み合わせることができます:)

デコード：

問題を示します。 1 MBのファイルがあります。内部では、未知の場所で、上記のメソッドの1つがhttp：//で始まる行で暗号化されます。キーは不明です。ファイルを処理し、壮大な列挙なしでこの行を抽出するプログラムを作成する必要があります。他の何か、たとえば内部ファイルのMZ-PEヘッダーを暗号化できますが、条件は次のとおりです。正確に何を探しているかがわかります。そして、未知の場所で暗号化された未知のガーベッジを何を探すべきかわからない-あまりありがたい仕事ではない。

小さな余談。 LCは現在、このような自動分析の方法を使用しています。これは、暗号化の対象と方法を気にしません。少なくとも非常に堅牢なアルゴリズム（説明されているものとは対照的）。データがプログラム自体で使用されている場合でも、データは取得されます。以下では、説明した暗号化方法がウイルス作成者を保護せず、アマチュアアナリストにとっても難しくないことを示します。啓示なし。手を見てください。

Xor

NOT操作が適用されたURLを覚えていますか？「 CHLLP┼╨╨ 」。これらの文字をもう一度見ると、それは常にURLであると推測されます。そして、キーF0で偽造された行： " SHDDA╩▀▀ "です。または、0Fの場合： " g {{⌂5 "。 2番目と3番目、最後と最後から2番目の文字が等しいことに注意してください。説明されているバイト変換の「有用な」特性は、等しいバイトを等しいバイトに変換することです。しかし、XORには別の便利なプロパティがあります-操作は可逆です。つまり、 'W' = 'h' XORキーから

key = 'W' XOR 'h'になります。これは、 YTsUKENGシーケンスがある場合、 キー：= '' 'XOR' h 'を意味します。次に、次のことを確認します

'C' == 't' XORキー

'K' == 'p' XORキー

'E' == '：' XORキー...

その場合、URLが見つかり、キーがわかります。

追加する

同様に、 '' '=' h '+ keyの場合、 key =' ''-'h'になります。そして、残りのURLが本当にURLであることを確認します。

しかし、攻撃者がキーをバイトからバイトに直線的に変更したらどうなるでしょうか？

'Th' = 'h' +キー

'Ts' = 't' +（キー+ d）

'Y' = 't' +（キー+ 2d）

'K' = 'p' +（キー+ 3d）...

すべて同じ：

キー= '' '-' h '

キー+ d = 'C'-'t'

作成者が4バイトキーを使用した場合：

'YTsUK' = 'http' XOR key32

その後、キーを計算し、残りの3つの既知のバイトで検証することもできます。しかし、キーが検索文字列自体の長さである場合、説明されているアプローチは機能しません。なんらかの理由で、小さな男たちは何でもしますが、実際に彼らを助けるものではありません。

組み合わせ

たとえば、メソッドを組み合わせます。 URLを先頭から最後まで、さらにバイトで、そして変数キーでpoksorsyaに書き込みます。はい、一部の自動化には混乱を招く可能性があります。実際、これはそのようなファイルの正常な検出を妨げません。そして、ウイルス分析者はマルウェアを理解するとすぐに、Reverseメソッド（Unicode（LinearXor（stream）））をデコーダに追加します。その後、すべての古いバージョンと新しいバージョンが自動的に復号化されます。

透かし

説明されている暗号化方法の別のアプリケーション：プログラムの透かし。あなたが誠実なプログラマであり、プログラムのコピーを顧客のVasilyとGeorgeに渡したとします。いいえ、エデュアルドとグレゴリーの方が良いです。そして、あなたは彼らのうちの1人がプログラムを公開しているのかどうか知りたいです。ソースコードでは次のように記述できます。

#pragma data_seg（ "。text"）

extern char WATERMARK [] = "uQPW►▀} _▲WTW►"; //「エドワードのコピー」XOR FF

コンパイル後、暗号化された行は実行可能ファイルに含まれますが、検出は容易ではありません。結局のところ、何をどこで探すべきかはわかりません。

しかし、先ほどわかったように、Edwardのコピーがパブリックドメインに入った場合、Gregoryにはプログラムの2つのバージョンがあり、それらの違いを簡単に見つけて暗号を解くことができます。グレゴリーは他の人のコピーを偽造できるようになります。

結論：

それだけです。いくつかの簡単な暗号化方法に精通し、それらがなぜ役に立たないのかを見つけました。質問やコメントがある場合-素晴らしい、本当に楽しみにしています。資料が単純すぎると思われる場合は、同じトピックに関するウイルス分析の分野での実例があります。

ウイルス（感染者）は、感染したファイルにその本体を埋め込みます。 彼の体は一定ですが、彼は次のような擬似乱数でDWORDをめぐって戦います。

srand（キー）;

暗号化[0] =本体[0] XOR rand（）;

暗号化された[1] = body [1] XOR rand（）;

...

キーを持つボディデコーダは、被害者のコードによって「スミアリング」されます（エントリポイントが不明瞭）ので、暗号化されたボディを使用して検出する必要があります。 たとえば、ウイルスの本体がnotepad.exeコードセクションであると想定できます。

コンパイラで最も一般的なアルゴリズムが擬似乱数ジェネレータとして使用されることが知られています。

seed = seed * 1103515245 + 12345; return (seed % ((unsigned int)RAND_MAX + 1));

完全表示

 /* * This file is part of the libpayload project. * * It was originally taken from the OpenBSD project. * * Copyright (c) 1990 The Regents of the University of California. * All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: * 1. Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * 2. Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * 3. Neither the name of the University nor the names of its contributors * may be used to endorse or promote products derived from this software * without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF * SUCH DAMAGE. */ #include <libpayload.h> static unsigned int next = 1; int rand_r(unsigned int *seed) { *seed = *seed * 1103515245 + 12345; return (*seed % ((unsigned int)RAND_MAX + 1)); } int rand(void) { return (rand_r(&next)); } void srand(unsigned int seed) { next = seed; }

~~頭の中で~~このウイルスをプログラムですばやく検出することは可能ですか？

悪意のあるファイルの簡単な暗号化