CC BY
13УДК 004.428 ББК 32.973-018
© К.Р. Аветисян, Б.Р. Аветисян, 2019 Научная специальность 05.13.19 — методы и системы защиты информации, информационная безопасность
РАСШИРЕНИЕ ФУНКЦИОНАЛА ЦЕЛЕВОГО ПРИЛОЖЕНИЯ ПРИ РЕШЕНИИ ОТДЕЛЬНЫХ СПЕЦИАЛЬНЫХ ЗАДАЧ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Карэн Рафаелович Аветисян,
преподаватель кафедры информационной безопасности учебно-научного комплекса информационных технологий Московский университет МВД России имени В.Я. Кикотя (117437, Москва, ул. Академика Волгина, д. 12)
E-mail: Karen-Avetisyan-19B9@bk.ru;
Борис Рафаелович Аветисян, соискатель кафедры уголовно-правовых дисциплин Университет Генеральной Прокуратуры Российской Федерации (11763В, Москва, ул. Азовская, д. 2, корп. 1)
Аннотация. Последовательно описан метод и основные принципы при шифровании файлов библиотеки с расширением «dll». Вводится и раскрывается понятие «боевой» нагрузки.
Ключевые слова: реверс-инженеринг, шифрование, эмуляция, отладка, данные, полиморфизм.
EXPANDING THE FUNCTIONALITY OF THE TARGET APPLICATION IN SOLVING SPECIAL PROBLEMS IN THE FIELD OF INFORMATION TECHNOLOGY
Karen R. Avetisyan,
Teacher of the Department of information security of educational and scientific complex of information technologies Moscow University of the Ministry of Internal affairs of Russia named after V.Ya. Kikot' (117437, Moscow, ul. Akademika Volgina, d. 12);
Boris R. Avetisyan, Applicant of the Department of criminal law disciplines University of the Prosecutor General's Office of the Russian Federation (117638, Moscow, ul. Azovskaya, d. 2, korp. 1)
Abstract. The method and basic principles are described in sequence for encrypting library files with the extension «dll». The concept of combat load is introduced and disclosed.
Keywords: reverse engineering, encryption, emulation, debugging, data, polymorphism.
Citation-ннаекс в электронной библиотеке ни ИОН
Для цитирования: Аветисян К.Р., Аветисян Б.Р. Расширение функционала целевого приложения при решении отдельных специальных задач в сфере информационных технологий. Криминологический журнал. 2019;(4):53-4.
В современном мире работа с данными стала не- ют и современные правонарушители и в некоторых
отъемлемой частью общества. Она пронизывает прак- случаях даже преступники. Это наиболее ярко вы-
тически все сферы жизнедеятельности человека. ражено в тенденции, отражающей все более новые
Информация в том виде, в котором осущест- и новые вирусы и вредоносное ПО. вляется ее обработка посредством ПЭВМ и совре- Научно-технический прогресс существенно из-
менные информационно-телекоммуникационные менил характер преступности и, соответственно,
технологии являются одним из важных факторов тем самым предопределил потребности изменения
функционирования информационного общества в механизмах борьбы с ней. Практика свидетель-
XXI века. И с целью повышения информационной ствует о том, что различные достижения научно-
безопасности некоторая категория данных шифру- технического все чаще выступают в качестве сред-
ется. ства, а иногда и орудия совершения преступлений.
На сегодняшний день шифрование отражает Рассмотрим реализацию динамически дешиф-
высокий уровень надежности и конфиденциально- руемой в памяти dll (файл библиотеки) при подклю-
сти при работе с данными, как в рамках локальных чении к заданному оператором ПЭВМ процессу и
сетей, так и в глобальной сети интернет. исполнении ее в удаленном потоке.
Существуют и отрицательные последствия раз- Для этого применим полиморфные свойства,
вития этой области. Весьма результативны дости- доступные нам в Windows. С целью минимизации
жения в области наукоемких технологий использу- сложностей, не будем углубляться и останавливать-
№4/2019
Криминологический журнал
53
ся на классических отличиях вредоносных и проприетарных программ от свободных и легитимных.
Среди представителей первой группы программ широко применяется сплайсинг (использование «чужих» функций с правкой возврата управления, когда это необходимо), морфинг точки входа, шифрование «боевой части», добавление мусорного кода. Помимо этих методов, направленных на усложнение статического исследования, существуют приемы «активной защиты», препятствующих реверсингу в момент исполнения.
К таким типам активной защиты относят — как ручной, так и автоматический эверестический анализ (песочницы антивирусов). Сканинг точек остановки, проверка целостности процесса, отсутствия подключенных сторонних библиотек, антиэмуляци-онные и антиотладочные приемы (их рассмотрим позже). Упростим и модель шифрования. Оно не будет предполагать сжатие боевой нагрузки, UnUPX, или применения шифрования типа AES. Для реальных проектов (таких, как citadel, beetle, spyeye) рекомендуется применять подобное решение. Сжатие неисполняемой секции с восстановлением энтропии заметно снизит статическую детектируемость.
Рассмотрим поэтапно данный процесс.
Изначально, при помощи encode'a шифруем payload (боевая нагрузка), тип шифрования — блочный XOR. Encoder представляет собой проект общего решения. В нем содержится основной код криптографического обратимого алгоритма, использующегося в loader'e. Имеется основной байт для замещения символа-терминатора, а также размер блока и байт-ключ. Размер блока необходим для нарушения линейности в процедуре шифрования.
Далее, записываем побайтно результат работы encode переменной в виде Си-массива. Помещаем в глобальный заголовочный файл переменную с полученной зашифрованной «боевой нагрузкой».
После запуска выполняем следующие алгоритмы: анти-отладочный и анти-эмуляционные. Далее запускаем процесс дешифровки payload'а («боевой нагрузки») [1, с. 129].
Необходимо отметить, что для предотвращения эмуляции применяются различные средства, например, переполнение пула памяти песочницы, проверка расхода тактов на выполнение инструкций, выполнение неэмулирующихся в антивирусе api, time-lock циклы и SEH-обработчики.
Следующим шагом мы открываем процесс для inject'а, вычисляем точку входа, выделяем память под payload в «процессе-жертве».
Это простая и штатная операция, однако, для понижения уровня реакции эверистики, необходимо скрыть вызовы api функций, для чего целесообразным использовать без импортного вызова функций, а, для скрытия сигнатур, применим базу сгс32-хэшей функций. Нужно лишь скрыть вызов LoadLibrary, которая находится в kernel32. Эта задача решается через нахождения указателя на библиотеку через РЕВ. Для ехе-файла задача нахождения точки входа, после последовательного нахождения основной служебной информации, после чего записываем в выделенную память боевую нагрузку, выделив необходимый сектор кода [2, с. 215].
Как итог вычисляем точку входа и создаем удаленный поток в процессе-жертве. В качестве стартового адреса используем вычисленную точку входа, так как dll по умолчанию не имеет точки входа, используем расчет по ординале (порядковый номер), берем в качестве точки входа первую функцию.
Задачи правоохранительных органов в наше время — время развития информационных технологий, должны решаться в штатном режиме и максимально эффективно [3, с. 134]. Необходимость расширения инструментария в части специальных информационных технологий и имплементации вышеописанных принципов и механизмов в деятельность специальных подразделений правоохранительных органов диктуется новыми видами угроз информационной безопасности, как общества, так и государства.
Литература
1. Аветисян K.P. Повышение криптостойко-сти конечного приложения на основе применения принципов динамического полиморфизма. // Сборник материалов деловой программы «Интерполи-тех-2015». М., 2015.
2. Аветисян K.P., Видру A.B. Применение принципов динамического полиморфизма при компиляции приложения с целью повышение его крип-тостойкости // Вестник Московского университета МВД России № 2, 2016.
3. Гончар В.В. Совершенствование государственной политики по противодействию преступлениям в сфере информационных технологий // Вестник экономической безопасности. № 3. 2017.
54
Криминологический журнал
№4/2019
