MD5碰撞的演化之路-360安全卫士.PDFVIP

原原文文地地址址:/papers/12396 作作者者：：360分分析析团团队队 主主编编：：白白名名单单分分析析组组 0x00 概概述述 自从王小云破解MD5算法后，国 外对MD5碰撞的相关研究与恶意利用从未停止。MD5算法的应用领域很多，就软件 安全方面来说，陆续发现了一批利用MD5碰撞对抗安全软件的恶意样本。这些样本中，大部分采用早期的一种较为成 熟的快速MD5碰撞利用方式，然而有一部分比较特殊，因其采用了新型的碰撞方式。 这种新型的碰撞样本在2014年初开始出现，当时还处于测试阶段，所以只有少数样本在传播。直到2015年初，新型碰 撞样本大规模爆发，经过分析和追踪，可以确定采用新型碰撞手法的大批量样本是由同一团伙制做，后续称为碰撞作 者。2015年9月，对抗升级，碰撞作者开始结合数字签名利用技术与安全软件对抗。2015年11月，碰撞作者进行新的尝 试，利用双签名对抗查杀。下图是该碰撞作者近两年对抗手法的演化的过程： 图1- 1 碰撞作者近两年的攻击演化过程 根据上面的演化过程，本文将围绕碰撞作者各阶段的利用手法展开详细的分析。首先，介绍新型MD5碰撞的特点，通 过与早期版本的对比来认识新型碰撞手法的“先进性”。接着，进一步介绍新型MD5碰撞与数字签名结合的高级利用手 法，以及碰撞作者放弃碰撞方法而采用双签名进行对抗的新尝试。然后，通过一例样本的行为分析介绍碰撞作者的典 型攻击流程。最后，对碰撞作者的恶意软件传播和影响进行统计与信息挖掘。 0x01 新新型型碰碰撞撞特特点点 早期的碰撞样本，主要采用“前缀构造法”，以同一个给定的前缀程序A为基础，在尾部添加不同的附加数据，得到两个 具有相同MD5的样本B和C，如下图所示： 图2- 1 早期MD5碰撞的利用手法 前缀构造法碰撞后的两个样本只有尾部少量字节不同，而程序代码是相同的。通过判断尾部数据的差异，两个样本可 以执行不同的程序流程。由于这种碰撞手法是通过同一前缀程序碰撞生成的两个样本，如果其中有恶意代码流程则两 个样本均包含恶意代码，所以比较容易被安全软件识别，隐蔽性较差。 而采用新型的MD5碰撞手法，得到两个MD5校验值相同的样本，一个是恶意程序，另一个则是正常程序，它们在功能 和代码上完全不同。由两个不同的前缀程序A和B分别在尾部添加附加数据，构造出具有相同MD5的程序C和D，如下 图所示： 图2-2 新型MD5碰撞的利用手法 这一阶段，碰撞作者主要是通过正常程序与恶意程序两种不同程序碰撞相同的MD5来对抗安全软件。比如这样一组样 本，正常程序是一个dll程序，恶意程序则是一个加了vmp强壳的流氓日历exe程序： 图2-3 一组新型碰撞样本的静态特征 而这两款毫不相关的程序MD5值校验却神奇的一致： 图2-4 一组新型碰撞样本的MD5计算结果 通过图2-3和图2-4，证实了两种不同格式的程序，其文件MD5是可以相同的。然而这种现象并非偶然，而是碰撞作者 能够大批量制造的真实案例。为了深究其技术手法，仔细比较一下这两个文件的数据如下： 图2-5 一组新型碰撞样本的文件数据比 较 从图中可以看出，两个文件绝大部分数据不同，但尾部数据高度相似，而且文件大小一致，这种构造方式是基于“选择 前缀碰撞法” （Chosen-prefix collsion 【1】）实现的，其原理图大致如下： 图2- “选择前缀碰撞法”原理 通过选择不同的前缀，计算生日数和碰撞块添加到文件尾部，即可得到两个具有相同的MD5的文件。不过，要计算出 这些尾部数据并不容易，直接使用hashclash 【2】的工具需要相当大的时间成本，但是碰撞作者对该工具进行改进后已 经能够高效完成大量正常程序与恶意程序的碰撞了，以下为此阶段样本的典型样例 （每组正常程序与恶意程序对 照），由于碰撞的原理与文件格式无关，所以样本形态呈现了多样化的特点。 图2-7 此阶段碰撞样