соответствующий ключ. Однако злоумышленники могут прибегнуть к любым нестандартным способам кодирования, с явным использованием ключа или без него. Как вы уже видели в предыдущем примере, ключ фактически встраивается (и обфусцируется) в сам код. И даже если он на самом деле используется и мы его нашли, вероятность того, что в свободном доступе есть библиотеки, способные помочь в процессе декодирования, крайне мала.

Декодирование

Обнаружение и изоляция функций шифрования — важная часть анализа, но обычно также есть необходимость в декодировании скрытых данных. Существует два основных способа дублирования кодирующих и декодирующих функций во вредоносном ПО:

переписывание самих функций;

использование этих функций в том виде, в котором они существуют во вредоносном коде.

Самодекодирование

Самый экономный способ расшифровать данные (неважно, известен алгоритм или нет) — позволить программе самой выполнить декодирование в штатном режиме. Мы называем этот процесс самодекодированием.

Если вы когда-либо останавливали вредонос в отладчике и замечали в его памяти строку, которая не была обнаружена при статическом анализе, можете считать, что вы уже применяли прием самодекодирования. Если ранее скрытая информация на каком-либо этапе расшифровывается, остановить и проанализировать этот процесс будет проще, чем пытаться определить, какой механизм кодирования используется в данном случае (и разработать собственный декодер).

Самодекодирование является малозатратным и эффективным способом расши­ фровки содержимого, но у него есть свои недостатки. Прежде всего, чтобы определить каждый случай расшифровки, необходимо изолировать декодирующую функцию и создать точку останова сразу по ее завершении. Но, что более важно, если вредонос не занимается декодированием интересующей вас информации (или же вам не удается заставить его это делать), вы зайдете в тупик. Поэтому важно использовать методики, которые предоставляют вам больше контроля.

Создание декодирующих функций вручную

В случае с примитивными шифрами и методами кодирования часто можно ограничиться использованием стандартных функций языка программирования. Например, в листинге 13.7 показана небольшая программа на языке Python, которая декодирует строку в стандартной кодировке Base64. Замените переменную пример_строки, чтобы декодировать нужную вам строку.

Листинг 13.7. Пример Python-скрипта для декодирования Base64

import string import base64

пример_строки = 'VGhpcyBpcyBhIHRlc3Qgc3RyaW5n' print base64.decodestring(пример_строки)

Часто для примитивных методов кодирования, у которых отсутствует кодиру­ ющая функция (таких как гаммирование или Base64 с видоизмененным алфавитом), процедуру кодирования проще всего реализовать вручную в виде программы или скрипта. Для этого можно использовать любой язык программирования на ваш выбор. В листинге 13.8 показан пример Python-функции, реализующей гаммирование с сохранением нулевых байтов, описанное ранее в этой главе.

Листинг 13.8. Пример гаммирования с сохранением нулевых байтов на языке Python

def null_preserving_xor(input_char,key_char):

if (input_char == key_char or input_char == chr(0x00)): return input_char

else:

return chr(ord(input_char) ^ ord(key_char))

Эта функция принимает два значения (входной символ и ключ) и выводит закодированный символ. Чтобы преобразовать строку или более длинный набор данных, используя гаммирование с сохранением нулевых байтов, просто передайте этому ответвлению каждый входной символ с одним и тем же ключом.

Для Base64 с видоизмененным алфавитом потребуется примерно такой же простой скрипт. Например, в листинге 13.9 показан код на языке Python, который превращает модифицированный алфавит в стандартный для Base64 набор символов и затем использует обычную функцию decodestring, которая входит в состав библиотеки base64.

Листинг 13.9. Пример декодирования нестандартной версии Base64 на языке Python

import string import base64

s = ""

custom = "9ZABCDEFGHIJKLMNOPQRSTUVWXYabcdefghijklmnopqrstuvwxyz012345678+/" Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"

ciphertext = 'TEgobxZobxZgGFPkb2O='

for ch in ciphertext: if (ch in Base64):

s = s + Base64[string.find(custom,str(ch))] elif (ch == '='):

s += '='

result = base64.decodestring(s)

В случае со стандартными криптографическими алгоритмами лучше всего использовать существующие реализации, доступные в программных библиотеках. Криптографическая библиотека PyCrypto (www.dlitz.net/software/pycrypto/), написанная на Python, предоставляет богатый набор функций шифрования. Аналогичные библиотеки существуют и для других языков. В листинге 13.10 можно увидеть простую программу на языке Python, которая расшифровывает данные с помощью алгоритма DES.

Листинг 13.10. Пример использования алгоритма DES на языке Python

from Crypto.Cipher import DES import sys

obj = DES.new('password',DES.MODE_ECB) cfile = open('encrypted_file','r') cbuf = f.read()

print obj.decrypt(cbuf)

Импортировав библиотеку PyCrypto, скрипт открывает зашифрованный файл с именем encrypted_file и расшифровывает его с помощью алгоритма DES. При этом используется режим электронной кодовой книги (electronic code book, ECB) и строка password в качестве пароля.

Блочные шифры, такие как DES, могут использовать разные режимы шифрования, применяя ключ к потоку простого текста произвольной длины; при этом режим должен быть указан в библиотечном вызове. Самым простым режимом является ECB, он применяет шифр к каждому отдельному текстовому блоку.

Существует множество способов написания скриптов с применением декодирующих алгоритмов. Предыдущие примеры должны дать вам представление о возможных вариантах, доступных при самостоятельном написании декодеров.

Создание собственной версии криптографических алгоритмов, использующихся во вредоносной программе, обычно подходит для простых или хорошо документированных шифров (если речь идет о стандартной криптографии). Но все далеко не так радужно, когда метод шифрования оказывается нестандартным, да еще и слишком сложным, чтобы его можно было эмулировать.

Инструментирование для универсальной расшифровки

При использовании самодекодирования, чтобы заставить вредоносную программу расшифровать свое содержимое, вы позволяете ей работать как обычно и затем останавливаете ее в нужный момент. Но вам вовсе не обязательно наблюдать нормальное выполнение вредоноса, если вы можете управлять им.

Изолировав процедуру кодирования или декодирования и изучив ее параметры, вы можете использовать ее для работы с любыми данными, в сущности заставляя вредонос вредить самому себе. Этот подход называется инструментированием.

Вернемся к вредоносной программе, которая генерирует множество больших зашифрованных файлов (см. раздел «Нестандартное кодирование» в этой гла-

ве). В листинге 13.11 показаны заголовок функции и ее основные инструкции, которые являются частью криптографического цикла, представленного ранее на рис. 13.14.

Листинг 13.11. Код вредоноса, который генерирует множество больших зашифрованных файлов

Из предыдущего анализа нам известно следующее.

Функция sub_40112F занимается инициализацией и находится в самом начале процедуры шифрования, которая вызывается по адресу 0x4011F5. В листинге 13.11 эта функция помечена как encrypt_Init.

На этапе 0x40122A шифрование уже завершено.

Известны несколько переменных и параметров, используемых в кодирующей функции, включая счетчик и два аргумента: буфер lpBuffer, который будет зашифрован или расшифрован, и его длина (nNumberOfBytesToWrite).

Итак, у нас есть зашифрованный файл, сам вредонос и понимание того, как работает кодирующая функция. Общая задача состоит в том, чтобы заставить вредоносную программу прогнать зашифрованный файл через ту же процедуру,

какая применялась для его шифрования (использование XOR дает основание предполагать, что этот алгоритм является обратимым). Данный процесс можно разделить на этапы.

1.Открыть вредоносную программу в отладчике.

2.Подготовить зашифрованный файл к чтению и предусмотреть исходящий файл для записи.

3.Выделить память внутри отладчика, чтобы вредонос мог к ней обращаться.

4.Загрузить зашифрованный файл на выделенный участок памяти.

5.Инициализировать нужные переменные и аргументы кодирующей функции.

6.Запустить кодирующую функцию для выполнения шифрования.

7.Записать свежерасшифрованный участок памяти в исходящий файл.

Для выполнения этих высокоуровневых задач мы воспользуемся отладчиком Immunity Debugger (ImmDbg), который был рассмотрен в главе 9. ImmDbg позволяет управлять отладкой с помощью скриптов на языке Python. В листинге 13.12 представлен типичный скрипт, который был написан для обработки зашифрованных файлов, находящихся в одном каталоге с вредоносом, и извлечения простого текста.

Листинг 13.12. Пример скрипта расшифровки для ImmDbg import immlib

def main ():

imm = immlib.Debugger()

cfile = open("C:\\encrypted_file","rb") # Открываем зашифрованный файл

Скрипт в листинге 13.12 строго следует общей задаче. immlib — это библиотека на языке Python, а вызов immlib.Debugger предоставляет программный доступ к отладчику. Вызов open открывает зашифрованные файлы для чтения, а расшифрованные — для записи. Параметр rb позволяет корректно интерпретировать двоичные символы при открытии (без флага b двоичный символ может быть воспринят как конец файла, что приведет к преждевременной остановке чтения).

В режиме отладки команда imm.remoteVirtualAlloc выделяет память внутри адресного пространства вредоносного процесса. К этой памяти вредонос может обращаться напрямую. Команда cfile.read считывает зашифрованный файл в буфер языка Python, после чего команда imm.writeMemory копирует содержимое этого буфера в память отлаживаемого процесса. Функция imm.getRegs используется для получения текущих значений регистров, чтобы с помощью регистра EBP можно было определить местоположение двух ключевых аргументов: буфера, который нужно расшифровать, и его размера. Для задания этих аргументов применяется функция imm.writeLong.

Само выполнение кода состоит из двух этапов, описанных ниже. Это разделение определяется точками останова, созданными с помощью вызовов imm.setBreakpoint, установкой регистра EIP с использованием команды imm.setReg("EIP",location) и вызовами imm.Run.

Первый отрезок кода выполняется в начале функции, где подготавливается слой стека и обнуляется счетчик. Этот первый этап находится между адресами 0x004011A9 (установка EIP) и 0x004011b7 (срабатывание точки останова).

Второй отрезок представляет собой сам криптографический цикл, для выполнения которого отладчик смещает указатель текущей инструкции в начало функции инициализации (0x004011f5). Этот этап начинается с адреса 0x004011f5 (установка EIP), проходит через цикл (по одной итерации на каждый байт, подлежащий расшифровке) и завершается на выходе из него (0x0040122a), где точка останова прерывает выполнение.

Вконце тот же буфер считывается из адресного пространства процесса в память Python-скрипта (с помощью imm.readMemory) и выводится в файл (посредством вызова pfile.write).

Использование этого скрипта требует небольшой подготовки. Файл, который будет расшифровываться, должен находиться в том же каталоге (C:\encrypted_ file). Чтобы запустить вредоносную программу, ее следует открыть в ImmDbg. Для запуска скрипта выберите в меню ImmDbg пункт Run Python Script (Выполнить Python-скрипт) или нажмите Alt+F3, после чего укажите файл с Python-скриптом из листинга 13.12. После этого в базовом каталоге ImmDbg (C:\Program Files\Immunity Inc\Immunity Debugger) появится итоговый файл (decrypted_file). Путь может отличаться, если вы указали его вручную.

Вэтом примере мы имели дело с отдельной функцией шифрования, которая отличалась прямолинейностью и не обладала зависимостями. Но не все кодирующие функции выглядят подобным образом. Некоторые из них требуют инициализа-

ции — возможно, с применением ключа. В некоторых случаях этот ключ может даже