Кодирование данных

В контексте анализа безопасности термин «кодирование данных» означает любое изменение содержимого с целью скрытия его истинного назначения. Вредоносное ПО использует методики кодирования для маскировки своей активности. Как аналитик безопасности вы должны быть с ними знакомы, чтобы в полной мере понимать принцип работы вредоноса.

При кодировании данных злоумышленник выбирает метод, который лучше всего подходит для его задач. В каких-то случаях это могут быть простые шифры или примитивные функции кодирования, которые обеспечивают достаточную защиту и легко реализуемы. А иногда применяются сложные криптографические алгоритмы или нестандартное шифрование, чтобы затруднить обнаружение и разбор вредоносного кода.

Мы начнем эту главу с поиска и определения функций кодирования, после чего рассмотрим стратегии расшифровки данных.

Зачем нужно анализировать алгоритмы кодирования

Вредоносное ПО применяет кодирование по самым разным причинам. Чаще всего это делается для шифрования сетевого взаимодействия, но данные методики также могут помочь скрыть внутренние механизмы вредоноса. Например, злоумышленник может использовать слой кодирования для следующих целей:

скрыть конфигурационную информацию, такую как управляющий домен;похитить информацию, предварительно сохранив ее в промежуточный файл;

хранить строки, которые используются вредоносным кодом, и декодировать их в нужный момент;

выдать вредоносную программу за обычную утилиту, пряча строки, которые используются для нанесения вреда.

При анализе алгоритмов кодирования мы всегда ставим перед собой две задачи: определить функцию кодирования и затем использовать эти сведения для расши­ фровки того, что злоумышленник пытается спрятать.

Простые способы кодирования существуют на протяжении тысяч лет. И вы ошибаетесь, если думаете, что они исчезли с появлением мощных современных компьютеров. Примитивные шифры часто используются для перевода информации в другой набор символов или видоизменения ее таким образом, чтобы другие люди не могли ее прочитать.

К простым методам кодирования часто относятся пренебрежительно из-за их тривиальности, но в контексте вредоносного ПО они обладают множеством преимуществ.

Достаточно компактные, чтобы их можно было использовать в средах с ограниченным пространством, например при эксплуатации кода командной оболочки.

Менее заметны по сравнению со сложными шифрами.

Требуют минимум ресурсов и, как следствие, почти не влияют на производительность.

Авторы вредоносного ПО, применяющие простое шифрование, не рассчитывают на то, что это спасет их от обнаружения, — для них это всего лишь доступный способ скрыть свою активность на случай базового анализа.

Шифр Цезаря

Одним из первых используемых шифров был шифр Цезаря. Во времена Римской империи с его помощью скрывали сообщения, которые гонцы передавали на поле боя. Ниже показан пример секретного военного приказа, закодированного шифром Цезаря (дословно означает «атаковать в полдень»):

ATTACK AT NOON

DWWDFN DW QRRQ

Гаммирование

Гаммирование — это простой метод кодирования, похожий на шифр Цезаря. Его еще называют исключающим ИЛИ (exclusive OR, XOR). Это логическая операция, с помощью которой можно модифицировать биты.

В ходе гаммирования к каждому байту исходного текста применяется исключающее ИЛИ со статическим байтовым значением. Например, на рис. 13.1 показано, как с использованием гаммирования и байта 0x3C можно зашифровать сообщение ATTACK AT NOON. Каждый символ содержится в отдельной ячейке и представлен в двух форматах: как управляющий код ASCII (сверху) и в виде шестнадцатеричных символов (снизу).

Как можно видеть в этом примере, результатом гаммирования часто становятся байты, которые выходят за рамки печатных символов (здесь они обозначены затем-

ненными ячейками). Буква C в слове ATTACK преобразуется в шестнадцатеричное значение 0x7F, которое обычно соответствует символу удаления. Точно так же пробел превращается в значение 0x1C, которое, как правило, используется в качестве файлового разделителя.

Рис. 13.1. Строка ATTACK AT NOON, зашифрованная с помощью исключающего ИЛИ и значения 0x3C (сверху показана исходная строка, а снизу — результат)

Гаммирование является удобным в использовании, поскольку оно одновременно

ипростое (требует лишь одной инструкции в машинном коде), и обратимое.

Вобратимых шифрах для кодирования и декодирования подходит одна и та же функция. Чтобы декодировать данные, зашифрованные с помощью гаммирования, нужно повторить операцию XOR с тем же ключом, какой использовался при кодировании.

Данная реализация гаммирования (где для всех байтов указывается один и тот же ключ) называется однобайтной.

Взлом гаммирования методом перебора

Представьте, что мы расследуем инцидент, связанный с вредоносным ПО. Мы обнаружили, что за секунду до того, как вредонос начинает свою работу, в каталоге с кэшем браузера создается два файла. Один из них имеет расширение SWF и, как можно предположить, используется для эксплуатации уязвимостей в плагине Flash. Имя второго — a.gif, но у него нет GIF-заголовка, который должен начинаться с GIF87a или GIF89a. Вместо этого он начинается с байтов, показанных в листинге 13.1.

Листинг 13.1. Начальные байты файла a.gif, зашифрованного методом гаммирования

Мы подозреваем, что это может быть исполняемый файл, зашифрованный путем гаммирования, но как это проверить? Одна из стратегий, которая подходит для однобайтного кодирования, состоит в простом переборе.

Каждый символ имеет лишь 256 возможных вариантов, поэтому компьютер может достаточно легко и быстро применить к файловому заголовку исключающее ИЛИ с использованием каждого однобайтного ключа и затем сравнить результат с заголовком, который можно ожидать от исполняемого файла. В табл. 13.1 представлен потенциальный вывод подобного скрипта.

Ниже вы можете видеть несколько начальных байтов файла a.gif, закодированных с применением разных XOR-ключей. Мы перебираем разные ключи, пока не увидим знакомый результат — в данном случае MZ-заголовок. В первом столбце указаны значения, которые используются в качестве ключа, а во втором — начальные байты после их преобразования. В третьем столбце мы отвечаем на вопрос, было ли найдено подозрительное содержимое.

Таблица 13.1. Расшифровка гаммированного исполняемого файла методом перебора

Обратите внимание на последнюю строку этой таблицы, в которой выполняется XOR с байтом 0x12. В ней находится MZ-заголовок. PE-файлы начинаются буквами MZ, которые в шестнадцатеричном виде выглядят как 4d и 5a, что соответствует первым двум символам в этой конкретной строке.

Вслед за этим, исследовав более длинный отрезок заголовка, мы увидим другие части файла (листинг 13.2).

Здесь обнаруживается текст This program mus. Это начало заглушки, которая является обычным элементом исполняемого файла со времен DOS и еще раз доказывает, что мы действительно имеем дело с форматом PE.

Перебор во множестве файлов

Перебор можно выполнять заранее. Например, если у вас есть много файлов и вы хотите проверить, являются ли они зашифрованными файлами в формате PE, вы можете создать 255 сигнатур для каждой комбинации с исключающим ИЛИ и сосредоточиться на элементах, которые, по вашему мнению, могут там присутствовать.

Допустим, вы решили искать строку This program, закодированную однобайтной операцией XOR, так как заголовок PE-файла обычно содержит текст наподобие This program must be run under Win32 или This program cannot be run in DOS. Если сгенерировать все возможные перестановки в исходной строке со всеми возможными значениями для XOR, получится набор сигнатур, которые нужно искать (табл. 13.2).

Таблица 13.2. Создание XOR-сигнатур для перебора

Однобайтное гаммирование с сохранением нулевых байтов

Еще раз взглянем на закодированный файл в листинге 13.1. В глаза сразу же бросается XOR-ключ 0x12. Большинство байтов в начальной части PE-заголовка равно 0x12! Это один из основных недостатков однобайтного кодирования: его нельзя скрыть от пользователя, вооруженного шестнадцатеричным редактором, который самостоятельно просматривает закодированные данные. Если в зашифрованном­ тексте содержится большое количество нулевых байтов, однобайтный «ключ» становится очевидным.

Авторы вредоносного ПО придумали довольно оригинальный способ решения этой проблемы: они используют метод однобайтного гаммирования с сохранением

нулевых байтов. В отличие от обычного гаммирования, у этого подхода есть два исключения:

если исходный символ равен NULL или самому ключу, байт пропускается;

если исходный символ не равен ни NULL, ни ключу, он кодируется методом исключающего ИЛИ с заданным ключом.

Как показано в табл. 13.3, код этой версии кодирования ненамного сложнее оригинала.

Таблица 13.3. Гаммирование без сохранения и с сохранением нулевых байтов

Втабл. 13.3 слева показан код оригинальной функции XOR, а справа — код XOR

ссохранением нулевых байтов. Таким образом, если ключ равен 0x12, преобразованию подлежат все значения, кроме 0x00 и 0x12. После кодирования PE-файла таким методом XOR-ключ будет менее заметным.

Теперь сравним листинги 13.1 (с очевидным ключом 0x12) и 13.3. В последнем представлен тот же PE-файл, закодированный с тем же однобайтным ключом (0x12), но с сохранением нулевых байтов. Такой подход усложняет обнаружение кодирования на основе исключающего ИЛИ и при этом нет никаких следов ключа.

Листинг 13.3. Начальные байты гаммированного файла с сохранением нулевых символов

Этот вид гаммирования особенно часто встречается в коде командной оболочки, который должен иметь как можно меньший размер.

Определение циклов с исключающим ИЛИ в IDA Pro

Теперь представим, что мы нашли код командной оболочки внутри SWF-файла. Чтобы отыскать цикл, который, как вы подозреваете, декодирует файл a.gif путем гаммирования, мы дизассемблируем этот код в IDA Pro.

В ассемблерном коде следует искать небольшие циклы, посреди которых находится инструкция XOR. В IDA Pro легче всего выполнить поиск всех инструкций XOR подряд.

1.Убедитесь в том, что вы просматриваете код (в названии окна должен быть текст

IDA View).

2.Выберите пункт меню Search Text (Поиск Текст).

3.В диалоговом окне Text Search (Поиск текста) введите xor, установите флажок Find all occurrences (Найти все вхождения) и нажмите кнопку OK. На экране должно появиться окно, похожее на то, что показано на рис. 13.2.

Рис. 13.2. Поиск инструкций XOR в IDA Pro

Не всякая найденная инструкция XOR используется для кодирования. Исключающее ИЛИ применяется для разных целей, например для очистки содержимого регистра. Инструкции XOR имеют три формы:

исключающее ИЛИ регистра с самим собой;исключающее ИЛИ регистра (или указателя на память) с константой;

исключающее ИЛИ одного регистра (или указателя на память) с другим регистром (или указателем на память).

Чаще всего встречается первый вариант, поскольку XOR регистра с самим собой является эффективным способом его обнуления. К счастью, очистка регистров не связана с кодированием данных, поэтому вы можете ее игнорировать. Как видно на рис. 13.2, таких инструкций большинство (например, xor edx,edx).

В циклах кодирования могут использоваться две другие формы: исключающее ИЛИ регистра с константой или с другим регистром. Первый вариант можно считать везением, поскольку это почти гарантия того, что вы имеете дело с кодированием, а ключ вам известен. Примером второй формы XOR на рис. 13.2 является инструкция xor edx,12h.

Одним из признаков кодирования считается небольшой цикл, который содержит XOR-функцию. Рассмотрим инструкцию, обнаруженную выше. На рис. 13.3 показана блок-схема, на которой видно, что инструкция XOR со значением 0x12 действительно находится в небольшом цикле. Вы также можете видеть, что блок кода по адресу loc_4012F4 инкрементирует счетчик, а блок loc_401301 проверяет, не превысил ли этот счетчик определенную длину.