33美元包月！计算机病毒就是这样绕过杀毒软件查杀的

如今，越来越多的攻击者开始使用便宜且公开可用的服务来帮助他们的计算机病毒绕过杀毒软件的查杀，并在受害者的系统中实现长久驻留。

网络安全公司CheckPoint就在近日为我们介绍了一种这样的服务——CypherIT，该服务被作为合法服务公开出售，但如今却被越来越多的攻击者用来封装恶意软件以及隐藏恶意内容。

根据CheckPoint统计，在2019年8月至10月期间通过电子邮件发送的所有恶意可执行文件中，约有13％使用了类似CypherIT这样的AutoIt加密程序来隐藏其恶意内容。

图1.使用了AutoIt加密程序的恶意软件（2019年8月至10月）

图2.攻击流程

CypherIT简介

从本质上讲，CypherIT是一种可用来加密可执行文件的服务，通过网站出售。

CypherIT的创建者声称，它可以让杀毒软件完全检测不到文件，且能够保证文件在系统中长久驻留。

图3.CypherIT官网截图

通过CypherIT应用程序上传文件，文件将会被发送到Web服务——[.]org，该Web服务提供了众多功能，如驻留、反沙箱、UAC绕过等。

图4.CypherIT的功能

只需几秒钟，你就会收到一个新的文件，而这个文件便能够绕过不同杀毒软件的查杀。

图5.在CypherIT上处理文件

该服务的价格十分便宜——33美元/月起，生成的新文件实际上是一个嵌入了AutoIt脚本的可执行文件。

CypherIT如何混淆和封装文件

混淆处理

实际上，CypherIT使用的混淆技术都是一些很基本的技术。为了让文件绕过查杀，CypherIt会不时更改混淆函数并加入大量不使用的函数和条件。

总的来说，CypherIT所使用的混淆技术如下：

更改字符顺序；

将字符串更改为十六进制；

与一些常数进行异或运算；

更改字符串顺序；

嵌入大量非ASCII字符。

图6.更改字符串顺序

图7.用第一个参数与第二个参数的长度进行异或运算

图8.包含非ASCII字符的“BinaryToString”

封装

如上所述，CypherIT会不时更改其加密方法，以便更好地隐藏有效载荷，主要涉及到三种方法：

分割加密的样本，并在AutoIt脚本内拼接为十六进制字符串。

分割加密的样本并将其转换为反向十六进制字符串，并将其作为资源附加到AutoIt可执行文件。

分割加密的样本，并将其作为资源附加到AutoIt可执行文件中。

结论

毫无疑问，类似CypherIT这样的封装程序足以让计算机病毒变得更加强大，让更多的杀毒软件如同虚设，而这样的病毒数量如今已经有所增长，相信在2020年只会更多。