一种在恶意软件中常见的字符串和Payload混淆技术 -
| 关注黑客与极客
一种在恶意软件中常见的字符串和Payload混淆技术
共101493人围观
，发现 4 个不明物体
我最近研究了一个来自客户提交的软件。SHA-256为：
f4dc22e367e084c7f21d8c41ce68e1ac
从技术角度来看，这并不是一个复杂的恶意软件。但是它说明了一些恶意软件作者最常用的用于反动态(自动)和静态(手动)分析的技术。
为了检测动态分析环境，它会检测下列程序列表：
PROCESS&EXPLORER
PROCESS&MONITOR
PROCESS&HACKER
该恶意软件列举了被感染系统上的所有窗口，如果发现其中任何一个属于上面列出的程序之一，恶意软件将进入一个循环并等待程序退出。这是一个很基本的技术，但是用代码实现起来相当容易和简单。
针对静态分析，该恶意软件使用了两个其他的技术：
1.在恶意软件中使用自定义的加密方案对任何明显的字符串进行加密。这对恶意软件作者和安全分析师有以下含义：
C＆C域名可以被硬编码在恶意软件中。对恶意软件编写者来说没有必要生成域名生成算法(DGA)。这些DGA很合适作为签名的候选人，并且恶意软件编写者在某些情况下会蒙受显著的“维修”成本来不断变化DGA。
所使用的恶意软件应用程序编程接口（API）在运行时会被解析;并且这些API的名称会在运行时被解密。这意味着安全分析师只有理解了加密方案后静态分析才变得有意义。
2.与C＆C服务器通信使用了自定义的加密方案：
恶意软件与C＆C服务器通信时,在常规的HTTP协议之上使用了自定义的加密/混淆技术。
现在，让我们深入的了解一下字符串的加密方案。例如，让我们来看看下面的字符串：
UHEOtTKwmsDb1J/2f8l/5w==
这看起来似乎是Base64编码，但是加密方案要稍微复杂一些。首先，恶意软件从硬编码的数据中生成密钥。密钥的生成步骤如下：
1.取硬编码字符串：
2.对1中的字符串进行Base64编码：
3.对2中的字符串进行MD5加密：
4.接着，恶意软件会计算下列硬编码字符块的MD5值：
5.MD5值为：
6.将第3步和第5步得到的MD5散列进行联接：
7.第6步中的字符串的MD5值将被用于微型加密算法(TEA)的key：
到此，准备工作已经完成，恶意软件准备解密字符串。
解密算法如下：
1.将加密的字符串-例如，“UHEOtTKwmsDb1J/2f8l/ 5W==”传参到一个可能是base64的函数。
2.使用TEA解密第1步中得到的结果，解密的key就是上面加密过程中第7步生成的key。
3.最终使用简单的循环获得解密的字符串：
4.解密后的字符串如下：
PAYLOAD分为收集关于系统的数据和通过硬编码字符串从“.DATA”节分离。这是恶意软件使用的一个非常标准的方案。
PAYLOAD生成方案如下所述：
1.创建一个伪随机串并用“＆”连接 – 例如：
2.添加主机名称和PID：
3.创建一个伪随机串并用硬编码值连接：
4.将上面的字符串联接在一起：
5.之后再添加硬编码数据：
6.取&密钥生成步骤&中第5步中MD5散列的子字符串：
7.在第5步的字符串后面添加上一步的子字符串：
8.添加操作系统主/次版本和构建信息：
9.添加区域信息：
10.添加内存大小和时间信息：
将最终得到的PAYLOAD进行如下算法编码：
1.用&Dm1cL&字符串作为PAYLOAD的头部。
2.生成一个随机的key进行xor。
3.进行HTML-escaped编码。
被异或和escaped编码后的数据如下：
首先，在许多现代恶意软件的家族中都可以发现与上述相同的技术的变种。这使得恶意软件作者能够一杆命中三个目标。这是一个非常简单的加密方案，并在恶意软件作者这一方面提供了不错的设计，这使得恶意软件作者能够相对有效的去改变它。其次，它的动态和静态分析稍微有些复杂。最后，它提供了一个有效的工具来创建同一种恶意软件的新变种，而且能够绕过杀毒引擎的特征。
相关的恶意软件的文件哈希，恶意域名和IP地址的集合可在找到。此外，下面提供了恶意软件中硬编码的C＆C域名列表：
“76TtKl8ZwW6MU29wmPDtT1QNcj5UDbqn/KIVj42N4ZYkZEPTS6ByTw==”&/&“hxxp[:]//www[.]n-/ec/index[.]php”
?*参考来源：，编译/丝绸之路，转载请注明来自FreeBuf黑客与极客()?
我相信我加入互联网，就是我未来的路、希望有大神关注http:...
感谢分享--想这类型的多看看会让自己了解更多思路，
好少有人去纠结写码者的算法问题啊
该怎么做好信息安全？
抱歉我看不懂
必须您当前尚未登录。
必须（保密）
别问我是谁，我就是我啊！
关注我们 分享每日精选文章403 Forbidden
403 Forbidden
You don't have permission to access the URL on this server.Powered by Tengine更多频道内容在这里查看
爱奇艺用户将能永久保存播放记录
过滤短视频
暂无长视频（电视剧、纪录片、动漫、综艺、电影）播放记录，
按住视频可进行拖动
&正在加载...
请选择打赏金额：
收藏成功，可进入
查看所有收藏列表
当前浏览器仅支持手动复制代码
视频地址：
flash地址：
html代码：
通用代码：
通用代码可同时支持电脑和移动设备的分享播放
用爱奇艺APP或微信扫一扫，在手机上继续观看
当前播放时间：
一键下载至手机
限爱奇艺安卓6.0以上版本
使用微信扫一扫，扫描左侧二维码，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
设备搜寻中...
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
连接失败！
请确保您要连接的设备（仅限安卓）登录了同一爱奇艺账号 且安装并开启不低于V6.0以上版本的爱奇艺客户端
部安卓（Android）设备，请点击进行选择
请您在手机端下载爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
其他安装方式：手机浏览器输入短链接http://71.am/udn
下载安装包到本机：
爱奇艺云推送
请您在手机端登录爱奇艺移动APP（仅支持安卓客户端）
使用微信扫一扫，下载爱奇艺移动APP
180秒后更新
打开爱奇艺移动APP，点击“我的-扫一扫”，扫描左侧二维码进行登录
没有安装爱奇艺视频最新客户端？
， 可在设置中重新打开噢！
30秒后自动关闭
开心消消乐1173关最新二星通关视频 技术太高了">开心消消乐1173关最新二星通关视频 技术太高了
播放量数据：快去看看谁在和你一起看视频吧~
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制
安装爱奇艺视频客户端，
马上开始为您下载本片
5秒后自动消失
&li data-elem="tabtitle" data-seq="{{seq}}"& &a href="javascript:void(0);"& &span>{{start}}-{{end}}&/span& &/a& &/li&
&li data-downloadSelect-elem="item" data-downloadSelect-selected="false" data-downloadSelect-tvid="{{tvid}}"& &a href="javascript:void(0);"&{{pd}}&/a&
选择您要下载的《
色情低俗内容
血腥暴力内容
广告或欺诈内容
侵犯了我的权力
还可以输入
您使用浏览器不支持直接复制的功能，建议您使用Ctrl+C或右键全选进行地址复制
本奖品由提供
红包雨下完了，下次早点来噢~君，已阅读到文档的结尾了呢~~
军用飞机时限监控系统的研究,军用飞机,军用飞机分类,军用飞机种类,中国军用飞机,军用直升飞机,军用航空电子系统,中国军用飞机发动机,中国军用大飞机,军用飞机图鉴
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
军用飞机时限监控系统的研究
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口}