NATURAL SCIENCES
COMPUTER SCIENCE AND INFORMATICS
Научная статья
УДК 004.9
https://doi.org/10.24412/2687-0185-2021-4-81-83
NIION: 2007-0083-4/21-071
MOSURED: 77/27-005-2021-04-270
Расширение функционала целевого приложения в целях решения специальных задач в сфере информационных технологий
Карэн Рафаелович Аветисян
Московский университет МВД России имени В.Я. Кикотя, Москва, Россия, [email protected]
Аннотация. С каждым годом программирование выходит на все более высокий уровень. Инструментарий множится как у правоохранительных органов, так и у криминогенного элемента. В данной работе последовательно описан метод и основные принципы при шифровании файлов библиотеки с расширением «dll». Вводится и раскрывается понятие боевой нагрузки.
Ключевые слова: программирование, программное обеспечение, информационно-телекоммуникационные технологии, информационная безопасность, шифрование, боевая нагрузка
Для цитирования: Аветисян К. Р. Расширение функционала целевого приложения в целях решения специальных задач в сфере информационных технологий // Криминологический журнал. 2021. № 4. С. 81—83. https:// doi.org/10.24412/2687-0185-2021-4-81-83.
Original article
Expanding the functionality of the target application in order to solve special tasks in the field of information technology
Karen R. Avetisyan
Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot', Moscow, Russia, [email protected]
Abstract. Every year programming reaches an ever higher level. The tools are multiplying both among law enforcement agencies and the criminogenic element. This paper consistently describes the method and basic principles for encrypting library files with the extension "dll". The concept of combat load is introduced and disclosed.
Keywords: programming, software, information and telecommunication technologies, information security, encryption, combat load
For citation: Avetisyan K. R. Expanding the functionality of the target application in order to solve special tasks in the field of information technology // Criminological journal. 2021. (4):81-83. (In Russ.). https://doi.org/10.24412/2687-0185-2021-4-81-83.
В современном мире работа с данными стала неотъемлемой частью общества. Она пронизывает практически все сферы жизнедеятельности человека.
Информация в том виде, в котором осуществляется ее обработка посредством ПЭВМ и современные информационно-телекоммуникационные технологии
© Аветисян К. Р., 2021
№4/2021
являются одним из важных факторов функционирования информационного общества XXI века. И с целью повышения информационной безопасности некоторая категория данных шифруется.
На сегодняшний день шифрование отражает высокий уровень надежности и конфиденциальности при
Криминологический журнал - gj
ЕСТЕСТВЕННЫЕ НАУКИ
КОМПЬЮТЕРНЫЕ НАУКИ И ИНФОРМАТИКА
работе с данными, как в рамках локальных сетей, так и в глобальной сети интернет.
Существуют и отрицательные последствия развития этой области. Весьма результативны достижения в области наукоемких технологий используют и современные правонарушители и в некоторых случаях даже преступники. Это наиболее ярко выражено в тенденции, отражающей все более новые и новые вирусы и вредоносное ПО.
Научно-технический прогресс существенно изменил характер преступности и, соответственно, тем самым предопределил потребности изменения в механизмах борьбы с ней. Практика свидетельствует о том, что различные достижения научно-технического все чаще выступают в качестве средства, а иногда и орудия совершения преступлений.
Рассмотрим реализацию динамически дешифруемой в памяти dll (файл библиотеки) при подключении к заданному оператором ПЭВМ процессу и исполнении ее в удаленном потоке.
Для этого применим описанные ранее полиморфные свойства, доступные нам в Windows. С целью минимизации сложностей, не будем углубляться детально и останавливаться на классических отличиях вредоносных и проприетарных программ от свободных и легитимных.
Среди представителей первой группы программ широко применяется сплайсинг (использование «чужих» функций с правкой возврата управления, когда это необходимо), морфинг точки входа, шифрование «боевой части», добавление мусорного кода. Помимо этих методов, направленных на усложнение статического исследования, существуют приемы «активной защиты», препятствующих реверсингу в момент исполнения.
К таким типам активной защиты относят — как ручной, так и автоматический эверестический анализ (песочницы антивирусов). Сканинг точек остановки, проверка целостности процесса, отсутствия подключенных сторонних библиотек, антиэмуляционные и антиотладочные приемы (их рассмотрим позже). Упростим и модель шифрования. Оно не будет предполагать сжатие боевой нагрузки, UnUPX, или применения шифрования типа AES. Для реальных проектов (таких, как citadel, beetle, spyeye) рекомендуется применять подобное решение. Сжатие неисполняемой секции с восстановлением энтропии заметно снизит статическую детектируемость.
Рассмотрим поэтапно данный процесс.
Изначально, при помощи encode'a шифруем payload (боевая нагрузка), тип шифрования — блочный XOR.
Encoder представляет собой проект общего решения. В нем содержится основной код криптографического обратимого алгоритма, использующегося в loader'e. Имеется основной байт для замещения символа-терминатора, а также размер блока и байт-ключ. Размер блока необходим для нарушения линейности в процедуре шифрования.
Далее, записываем побайтно результат работы encode переменной в виде Си-массива. Помещаем в глобальный заголовочный файл переменную с полученной зашифрованной «боевой нагрузкой».
После запуска выполняем следующие алгоритмы: анти-отладочный и анти-эмуляционные. Далее запускаем процесс дешифровки payload'a («боевой нагрузки»).
Необходимо отметить, что для предотвращения эмуляции применяются различные средства, например, переполнение пула памяти песочницы, проверка расхода тактов на выполнение инструкций, выполнение неэмулирующихся в антивирусе api, time-lock циклы и SEH-обработчики.
Следующим шагом мы открываем процесс для inject'a, вычисляем точку входа, выделяем память под payload в «процессе-жертве».
Это простая и штатная операция, однако, для понижения уровня реакции эверистики, необходимо скрыть вызовы api функций, для чего целесообразным использовать без импортного вызова функций, а, для скрытия сигнатур, применим базу сгс32-хэшей функций. Нужно лишь скрыть вызов LoadLibrary, которая находится в kernel32. Эта задача решается через нахождения указателя на библиотеку через РЕВ. Для ехе-файла задача нахождения точки входа, после последовательного нахождения основной служебной информации, после чего записываем в выделенную память боевую нагрузку, выделив необходимый сектор кода.
Как итог вычисляем точку входа и создаем удаленный поток в процессе-жертве. В качестве стартового адреса используем вычисленную точку входа, так как dll по умолчанию не имеет точки входа, используем расчет по ординале (порядковый номер), берем в качестве точки входа первую функцию.
Задач правоохранительных органов в наше время — время развития информационных технологий, должен решаться в штатном режиме и максимально эффективно. Необходимость расширения инструментария в части специальных информационных техно-
82 _ - Криминологический журнал - №4/2021
_NATURAL SCIENCES_
COMPUTER SCIENCE AND INFORMATICS
логий и имплементации вышеописанных принципов и механизмов в деятельность специальных подразделений правоохранительных органов диктуется новыми видами угроз информационной безопасности, как общества, так и государства.
Библиографический список
1. Аветисян К. Р. Повышение криптостойкости конечного приложения на основе применения принципов динамического полиморфизма // Сборник материалов деловой программы «Ин-терполитех-2105». С. 129-130.
2. Аветисян К. Р., Видру А. В. Применение принципов динамического полиморфизма при компиляции приложения с целью повышение его
криптостойкости // Вестник Московского университета МВД России. № 2. 2016. С. 213-215.
Bibliographic list
1. Avetisyan К. R. Increasing the cryptographic strength of the final application based on the application of the principles of dynamic polymorphism // Collection of materials of the business program "Interpolitech-2105" - pp. 129-130.
2. Avetisyan K. R., Vidru A. V. Application of the principles of dynamic polymorphism when compiling an application in order to increase its cryptographic strength // Bulletin of the Moscow University of the Ministry of Internal Affairs of Russia. No 2. 2016. pp. 213-215.
Информация об авторе
К. Р. Аветисян — преподаватель кафедры информационной безопасности учебно-научного комплекса информационных технологий Московского университета МВД России имени В.Я. Кикотя.
Information about the author К. R. Avetisyan — lecturer of the department of information security of the educational and scientific complex of information technologies Moscow University of the Ministry of Internal Affairs of Russia named after V.Ya. Kikot'.
Статья поступила в редакцию 01.12.2021; одобрена после рецензирования 13.12.2021; принята к публикации 27.12.2021.
The article was submitted 01.12.2021; approved after reviewing 13.12.2021; accepted for publication 27.12.2021.
Уголовное право
ПрпЯрншя чяптт.
УЧЕБНИК
ВТОРОЕ ИЗДАНИЕ □пппппппппгаэпппппппппппп
Уголовное право. Особенная часть. 2-е изд., перераб. и доп. Учебник. Гриф МУМЦ "Профессиональный учебник". Гриф НИИ образования и науки. Гриф МНИЦ Судебной экспертизы и исследований.
Рассмотрены вопросы Особенной части Уголовного кодекса Российской Федерации. Учебник содержит: общие рекомендации и методические указания по изучению уголовного права; ключевые слова основных тем и разделов; контрольные вопросы и тесты: нормативно-правовую базу и учебную литера-туру для подготовки к семинарским и практическим занятиям; краткий обзор современной судебной практики.
Для студентов и преподавателей высших учебных заведений.
ДГо Д /9П91
Криминологический журнал
83