Les Hash ROL9XOR(Additive+1)
Lors de l'analyse de "Dridex", nous avons pu observer que les Hashs utilisés sont de type ROL9XOR(Additive+1)
I. Liste de hash de fonction de l'API résolus connue dans Dridex
Hash Value
|
API Function
|
0AB48C65
|
LdrLoadDll
|
DE604C6A
|
RtlDosPathNameToNtPathName_U
|
925F5D71
|
RtlFreeAnsiString
|
EFD32EF6
|
LdrProcessRelocationBlock
|
B8E06C7D
|
RtlComputeCrc32
|
831D0FAA
|
RtlExitUserThread
|
A62BF608
|
NtSetInformationProcess
|
102DE0D9
|
NtAllocateVirtualMemory
|
7CD8E53D
|
NtFreeVirtualMemory
|
6815415A
|
NtOpenFile
|
E7F9919F
|
NtQueryDirectoryFile
|
64C4ACE4
|
NtClose
|
028C54D3
|
memcpy
|
82D84ED3
|
memset
|
II. Analyse de l'algorithme de Hash
Nous savons que celui-ci est basé sur un ROL 9 vu les
différents échantillons
Nous avons pu déterminer cela avec l'outil "Api Hash
Predator V1.7"
Prenons l'exemple de l'API
"LdrLoadDll" dont la valeur du hash est '0AB48C65'
l'algorithme ROL9 reconstruit à partir de la
capture Asm du code nous donne le même résultat que ROLXOR(Additive+1)
Aucun commentaire:
Enregistrer un commentaire