带你了解封装即服务“CypherIT”,助力计算机病毒绕过杀毒软件
如今,越来越多的攻击者开始使用便宜且公开可用的服务来帮助他们的计算机病毒绕过杀毒软件的查杀,并在受害者的系统中实现长久驻留。
网络安全公司Check Point就在近日为我们介绍了一种这样的服务——CypherIT ,该服务被作为合法服务公开出售,但如今却被越来越多的攻击者用来封装恶意软件以及隐藏恶意内容。
根据Check Point统计,在2019年8月至10月期间通过电子邮件发送的所有恶意可执行文件中,约有13%使用了类似CypherIT这样的AutoIt加密程序来隐藏其恶意内容。
图1.使用了AutoIt加密程序的恶意软件(2019年8月至10月)
图2.攻击流程
CypherIT简介
从本质上讲,CypherIT是一种可用来加密可执行文件的服务,通过网站出售。
CypherIT的创建者声称,它可以让杀毒软件完全检测不到文件,且能够保证文件在系统中长久驻留。
图3. CypherIT官网截图
通过CypherIT应用程序上传文件,文件将会被发送到Web服务——api.Cypherit[.]org,该Web服务提供了众多功能,如驻留、反沙箱、UAC绕过等。
图4. CypherIT的功能
只需几秒钟,你就会收到一个新的文件,而这个文件便能够绕过不同杀毒软件的查杀。
图5. 在CypherIT上处理文件
该服务的价格十分便宜——33美元/月起,生成的新文件实际上是一个嵌入了AutoIt脚本的可执行文件。
CypherIT如何混淆和封装文件
混淆处理
实际上,CypherIT使用的混淆技术都是一些很基本的技术。为了让文件绕过查杀,CypherIt会不时更改混淆函数并加入大量不使用的函数和条件。
总的来说,CypherIT所使用的混淆技术如下:
更改字符顺序;将字符串更改为十六进制;与一些常数进行异或运算;更改字符串顺序;嵌入大量非ASCII字符。图6.更改字符串顺序
图7.用第一个参数与第二个参数的长度进行异或运算
图8.包含非ASCII字符的“BinaryToString”
封装
如上所述,CypherIT会不时更改其加密方法,以便更好地隐藏有效载荷,主要涉及到三种方法:
分割加密的样本,并在AutoIt脚本内拼接为十六进制字符串。分割加密的样本并将其转换为反向十六进制字符串,并将其作为资源附加到AutoIt可执行文件。分割加密的样本,并将其作为资源附加到AutoIt可执行文件中。结论
尽管CypherIT封装即服务(Packer as a Service)被描述为一种合法服务,但它已然成为了一种我们必须去关注的网络威胁。因为通过这种服务,计算机病毒不仅能够绕过杀毒软件的查杀,而且还能够实现在系统中的长久驻留。
毫无疑问,类似CypherIT这样的封装程序足以让计算机病毒变得更加强大,让更多的杀毒软件如同虚设,而这样的病毒数量如今已经有所增长,相信在2020年只会更多。
文件加密工具,BCArchive软件体验
前段时间“不会解压”的事情已经有很多博主都吐槽了。关于压缩文件分享这事,除了有各种压缩方式和防止解压的操作可聊,但对于小白们来说,方便快捷的自解压文件或许更适合。
自解压文件不需要使用者去寻找压缩软件,导致在网上下些乱七八糟的解压软件,还能避免在云端擅自解压导致被和谐等等。
对于大部分文件,用自解压的办法确实是算把饭喂到嘴边了,今天我们来看一款免费的制作自解压的工具——BCArchive。
它功能比较简单,不适合用来封装软件啥的,但是用来封装要压缩的文件就很合适,还可以给压缩文件添加多个解压密码,同步压缩文档到文件夹等等。
打开软件进行安装的时候,需要手动点开语言下载列表,等待几秒后才会看到中文的安装选项。
安装结束时,可以选择在桌面和快速启动栏创建快捷方式,添加文字编码器功能,这个文字编码器是附加功能,不添加也不影响。
来到软件里,在左上角的新建可以创建一个密钥文件,之后就可以用这个密码来加密文件。
创建时还有一个数据进度条,让你移动鼠标来创建一些随机数据。
弄好之后,把要加密的文件拖进来就可以了。
之后在左上角的功能栏里,选择创建自解压文件即可,把鼠标移到密钥列表上能看到输出文件的大小,压缩比率等信息。
之后会生成一个EXE文件,这里面也包含了文件本身,给朋友发这个文件就行了。
在接收的设备上双击打开,会提示选择导出的位置和输入密码,输入之前设置的密码即可。
基本的操作就是这么简单,接下来就是一些优化体验的操作。
在选择文件后右键可以使用快速压缩,设置加密参数等等,没有EXE可以在功能栏里设置。
如果压缩列表里面有图片,双击可以直接查看图片内容。
还有一个同步功能,这个同步功能在你第一次用BCArchive的时候,可能不太明白,但需要注意的是,这个同步功能有点“危险”,如果你选择了同步的文件夹,那么你选择的文件夹下就只剩下压缩档里的文件了。
它们的具体关系如下:
另外他还可以设置多个密码,这样在分享的时候,你可以给不同的人和论坛设置不同的密码,这样你就可以追踪文件是从哪里流传出来的了。
除了这些,BCArchive还有公钥的设计,这个能用上的话基本就告别小白阶段了,大家感兴趣的话可以自己去查看一下官方的文档。
这个工具是完全免费的,支持的Windows系统范围也比较广,日常使用没啥问题。
相关问答
系统 封装软件 哪个比较好啊??-ZOL问答重要的是在你封装的时候要去除驱动和硬件信息。有用(0)回复yetyees3简单有用(0)回复展开查看全部7条讨论精品应用推荐新浪微博天气通淘宝特价版UC...
活字格可以 封装 成APP吗?能。活字格(TypoGrid)是一款排版设计软件,它本身不提供直接封装成APP的功能。但是,用户可以使用活字格设计出APP的界面布局和视觉元素,然后将设计成果导出...
用ACCESS做好的 软件 ,肿么 封装 成可执行的exe文件-ZOL问答2、如果需要将Access封装为可执行文件的话,需要绑定AccessRunningtime。也就是说,必须在客户端安装AccessRunningtime才可以运行软件。首先自己写一套自....
软件封装 什么意思?软件封装的意思就是把具有同一属性的软件都封装到一起。软件封装的意思就是把具有同一属性的软件都封装到一起。
封装 系统如何自动运行激活工具?封装软件的自动激活工具一般可以通过在封装系统中添加批处理脚本或者自动化脚本来实现自动运行。具体操作步骤如下:1.在封装系统中添加激活工具的执行文件,...
封装 app和原生的app的区别是什么?封装App:App里面webview打开远端的网站。加载资源都是远端每次都要重新加载速度会变慢。原生App:逻辑框架和图片资源在本地,数据读取更少。封装App有很多平台...
如何将 封装 在盒子里的 软件 app复制出来?1.使用RE浏览器,能浏览/system/app/目录,就可以把相关APK全部复制到U盘2.使用调试模式连接adbpull出来。打开盒子调试模式(一般在系统设置->开发者模式)ad...
一套免安装软件,用什么 封装软件 让它成为安装的 软件 - 185***...还可以封装的啊,有意思!那可不可以把安装软件搞成免安装的啊!vb就可以
win7 封装 教程easy sysprep v4怎么调用激活 软件 进行激活 软件 进行自动激活?再部署后运行WindowsLoader,参数/silent/norestart即可自动激活。再部署后运行WindowsLoader,参数/silent/norestart即可自动激活。
封装 打包成APP能上架 应用商店 吗?-ZOL问答静态网站生成器能够将HTML、CSS和JavaScript等文件打包成一个可部署的静态应用程序,然后通过打包工具将其转换成APP格式,比如Android和iOS的APK和IPA格式。静态...
