安基网 欢乐生肖 资讯 安全报 查看内容

33美元包月!计算机病毒就是这样绕过杀毒软件查杀的

2020-1-9 08:54| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 如今,越来越多的攻击者开始使用便宜且公开可用的服务来帮助他们的计算机病毒绕过杀毒软件的查杀,并在受害者的系统中实现长久驻留。网络安全公司Check Point就在近日为我们介绍了一种这样的服务——CypherIT ,该服务被作为合法服务公开出售,但如今却被越来越多的攻击者用来封装恶意软件以及隐藏恶意 ...

如今,越来越多的攻击者开始使用便宜且公开可用的服务来帮助他们的计算机病毒绕过杀毒软件的查杀,并在受害者的系统中实现长久驻留。

网络安全公司Check Point就在近日为我们介绍了一种这样的服务——CypherIT ,该服务被作为合法服务公开出售,但如今却被越来越多的攻击者用来封装恶意软件以及隐藏恶意内容。

根据Check Point统计,在2019年8月至10月期间通过电子邮件发送的所有恶意可执行文件中,约有13%使用了类似CypherIT这样的AutoIt加密程序来隐藏其恶意内容。

图1.使用了AutoIt加密程序的恶意软件(2019年8月至10月)

图2。攻击流程

CypherIT简介

从本质上讲,CypherIT是一种可用来加密可执行文件的服务,通过网站出售。

CypherIT的创建者声称,它可以让杀毒软件完全检测不到文件,且能够保证文件在系统中长久驻留。

图3. CypherIT官网截图

通过CypherIT应用程序上传文件,文件将会被发送到Web服务——api.Cypherit[.]org,该Web服务提供了众多功能,如驻留、反沙箱、UAC绕过等。

图4。 CypherIT的功能

只需几秒钟,你就会收到一个新的文件,而这个文件便能够绕过不同杀毒软件的查杀。

图5. 在CypherIT上处理文件

该服务的价格十分便宜——33美元/月起,生成的新文件实际上是一个嵌入了AutoIt脚本的可执行文件。

CypherIT如何混淆和封装文件

混淆处理

实际上,CypherIT使用的混淆技术都是一些很基本的技术。为了让文件绕过查杀,CypherIt会不时更改混淆函数并加入大量不使用的函数和条件。

总的来说,CypherIT所使用的混淆技术如下:

  • 更改字符顺序;
  • 将字符串更改为十六进制;
  • 与一些常数进行异或运算;
  • 更改字符串顺序;
  • 嵌入大量非ASCII字符。

图6。更改字符串顺序

图7。用第一个参数与第二个参数的长度进行异或运算

图8.包含非ASCII字符的“BinaryToString”

封装

如上所述,CypherIT会不时更改其加密方法,以便更好地隐藏有效载荷,主要涉及到三种方法:

  • 分割加密的样本,并在AutoIt脚本内拼接为十六进制字符串。
  • 分割加密的样本并将其转换为反向十六进制字符串,并将其作为资源附加到AutoIt可执行文件。
  • 分割加密的样本,并将其作为资源附加到AutoIt可执行文件中。

结论

尽管CypherIT封装即服务(Packer as a Service)被描述为一种合法服务,但它已然成为了一种我们必须去关注的网络威胁。因为通过这种服务,计算机病毒不仅能够绕过杀毒软件的查杀,而且还能够实现在系统中的长久驻留。

毫无疑问,类似CypherIT这样的封装程序足以让计算机病毒变得更加强大,让更多的杀毒软件如同虚设,而这样的病毒数量如今已经有所增长,相信在2020年只会更多。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6776514601925214723/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
欢乐生肖 青海快3走势 天津十一选五前三走势 快乐赛车 安徽快3走势 上海时时乐 快赢彩票计划 幸运飞艇官网 亚洲彩票 幸运赛车