如今,越來越多的攻擊者開始使用便宜且公開可用的服務來幫助他們的計算機病毒繞過殺毒軟件的查殺,并在受害者的系統中實現長久駐留。
網絡安全公司Check Point就在近日為我們介紹了一種這樣的服務——CypherIT ,該服務被作為合法服務公開出售,但如今卻被越來越多的攻擊者用來封裝惡意軟件以及隐藏惡意内容。
根據Check Point統計,在2019年8月至10月期間通過電子郵件發送的所有惡意可執行文件中,約有13%使用了類似CypherIT這樣的AutoIt加密程序來隐藏其惡意内容。
圖1.使用了AutoIt加密程序的惡意軟件(2019年8月至10月)
圖2.攻擊流程
CypherIT簡介 從本質上講,CypherIT是一種可用來加密可執行文件的服務,通過網站出售。
CypherIT的創建者聲稱,它可以讓殺毒軟件完全檢測不到文件,且能夠保證文件在系統中長久駐留。
圖3. CypherIT官網截圖
通過CypherIT應用程序上傳文件,文件将會被發送到Web服務——api.Cypherit[.]org,該Web服務提供了衆多功能,如駐留、反沙箱、UAC繞過等。
圖4. CypherIT的功能
隻需幾秒鐘,你就會收到一個新的文件,而這個文件便能夠繞過不同殺毒軟件的查殺。
圖5. 在CypherIT上處理文件
該服務的價格十分便宜——33美元/月起,生成的新文件實際上是一個嵌入了AutoIt腳本的可執行文件。
CypherIT如何混淆和封裝文件 混淆處理
實際上,CypherIT使用的混淆技術都是一些很基本的技術。為了讓文件繞過查殺,CypherIt會不時更改混淆函數并加入大量不使用的函數和條件。
總的來說,CypherIT所使用的混淆技術如下:
更改字符順序;将字符串更改為十六進制;與一些常數進行異或運算;更改字符串順序;嵌入大量非ASCII字符。
圖6.更改字符串順序
圖7.用第一個參數與第二個參數的長度進行異或運算
圖8.包含非ASCII字符的“BinaryToString”
封裝
如上所述,CypherIT會不時更改其加密方法,以便更好地隐藏有效載荷,主要涉及到三種方法:
分割加密的樣本,并在AutoIt腳本内拼接為十六進制字符串。分割加密的樣本并将其轉換為反向十六進制字符串,并将其作為資源附加到AutoIt可執行文件。分割加密的樣本,并将其作為資源附加到AutoIt可執行文件中。結論 盡管CypherIT封裝即服務(Packer as a Service)被描述為一種合法服務,但它已然成為了一種我們必須去關注的網絡威脅。因為通過這種服務,計算機病毒不僅能夠繞過殺毒軟件的查殺,而且還能夠實現在系統中的長久駐留。
毫無疑問,類似CypherIT這樣的封裝程序足以讓計算機病毒變得更加強大,讓更多的殺毒軟件如同虛設,而這樣的病毒數量如今已經有所增長,相信在2020年隻會更多。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!