从Cerber勒索软件中学习murmurhash算法

最新推荐文章于 2024-05-10 09:37:25 发布
最新推荐文章于 2024-05-10 09:37:25 发布
阅读量1.9k 收藏
点赞数
分类专栏: 常用数据结构、算法、设计模式
近期,大量国内用户遭受到 cerber 勒索软件的侵害, cerber 作为新起的勒索软件家族,大有后来居上的姿态,网上也有数篇对于 cerber 勒索软件的行为的分析。这款勒索软件,使用 rsa 非对称加密加密用户的文件,在没有私钥的情况下,基本上没有可能解密出被勒索的文档。这个勒索软件比较新颖的使用了 murmur hash 算法,本文本着学习的精神,对 murmurhash 算法的原理及在此款勒索软件中的使用作了简单的分析。

Murmur hash算法介绍
MurmurHash是一种非加密型哈希函数,适用于一般的哈希检索操作。 由Austin Appleby在2008年发明,并出现了多个变种,都已经发布到了公有领域。与其它流行的哈希函数相比,对于规律性较强的key,MurmurHash的随机分布特征表现更良好。当前的版本是MurmurHash3,能够产生出32-bit或128-bit哈希值。
MurmurHash算法具有高运算性能,低碰撞率等特点,这也人使的近些年对MurmurHash的使用风生水起,目前应用MurmurHash 的开源系统包括Hadoop、libstdc++、nginx、libmemcached。


Murmur hash 算法实现
根据维基百科上给出的伪代码,我们使用python实现 murmur hash算法,如下:
?
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
def murmur3_x86_32(data, seed=0):[/size][/align][size=4]    c1 = 0xcc9e2d51
    c2 = 0x1b873593
    r1 = 15
    r2 = 13
    m = 5
    n = 0xe6546b64
 
    length = len(data)
    h1 = seed
    rounded_end = (length & 0xfffffffc)  # every block contain 4 bytes
    for i in range(0, rounded_end, 4):
        # translate to little endian load order
        k1 = (ord(data[i]) & 0xff) | ((ord(data[i + 1]) & 0xff) << 8) | \
             ((ord(data[i + 2]) & 0xff) << 16) | (ord(data[i + 3]) << 24)
        k1 *= c1
        k1 = (k1 << r1) | ((k1 & 0xffffffff) >> (32-r1))  # ROTL32(k1,15)
        k1 *= c2
 
        h1 ^= k1
        h1 = (h1 << r2) | ((h1 & 0xffffffff) >> (32-r2))  # ROTL32(h1,13)
        h1 = h1 * m + n
 
    # the last block which is < 4 bytes
    k1 = 0
 
    val = length & 0x03
    # the last block is  3 bytes
    if val == 3:
        k1 = (ord(data[rounded_end + 2]) & 0xff) << 16
    # the last block is  2 bytes
    if val in [2, 3]:
        k1 |= (ord(data[rounded_end + 1]) & 0xff) << 8
    # the last block is  1 bytes
    if val in [1, 2, 3]:
        k1 |= ord(data[rounded_end]) & 0xff  # translate to little endian load order
        k1 *= c1
        k1 = (k1 << r1) | ((k1 & 0xffffffff) >> (32-r1))
        k1 *= c2
        h1 ^= k1
 
    # finalization
    h1 ^= length
    h1 ^= ((h1 & 0xffffffff) >> 16)
    h1 *= 0x85ebca6b
    h1 ^= ((h1 & 0xffffffff) >> 13)
    h1 *= 0xc2b2ae35
    h1 ^= ((h1 & 0xffffffff) >> 16)
    # for 32 bit, get the last 32 bits
    return h1 & 0xffffffff
对样本中的调用 murmurhash 的地方下断,可以看到对数据“ 65 2F3B 3C D1 40 02 4C BA 68 C0 D0 ”进行 hash 的结果为“ BF35B592
通过我们的脚本验证,对比结果,可以看到我们脚本的运行结果也为“BF35B592”


cerber勒索软件中对murmurhash算法的使用
cerber 勒索软件对murmurhash 函数的使用有两点我们要搞清楚。
1.      Murmurhash函数的seed值为什么?
2.      勒索软件调用murmurhash的作用是什么?

对于第一个问题:
通过对cerber软件中murmurhash算法的逆向,可以看到seed的值为0,在下面的代码中的edx的值就为murmurhash算法的初始化的seed值

对于第二个问题

通过上图可以看出,cerber勒索软件中共有5处使用了murmurhash函数,实际上只在三个函数中调用了murmurhash函数,调用murmurhash函数的函数为:
40B074解密出勒索使用的config内容后,解析config内容
409ADE解密字符串函数中使用
401DB9加密文件时,生成murmurhash保存在加密后的文件中

  • 对于40B074处的算法使用:
通过自定义的数据结构填充加密信息,在这个加密信息的结构体中的一项指定的数据就是murmurhash计算的结果值,随后对使用全局的公钥加密这个数据结构,并将对其base64后的结果写入到注册表中。


  • 对于409ADE解密字符串的使用
在解密字符串中,使用murmur hash获得加密字符串的hash:


  • 对于加密文件函数401DB9中的使用
组成下面的数据结构
对这个数据结构所的块进行加密后,写入加密后的文件




总结

本文只是对cerber勒索软件中的murmurhash算法进行了分析,对这款勒索软件家族的描述可以参考网络上的其他文章。由于本人也是第一次听说murmur算法,文章为自己分析cerber勒索遇到新的加密算法时的一点学习总结,有分析不恰当的地方,还望海涵。

编程小问号
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
算法】哈希算法——murmurhash一致性哈希算法
IT_Mitchell的博客
05-11 5304
Murmurhash: 是一种非加密型哈希函数,适用于一般的哈希检索操作。高运算性能,低碰撞率,由Austin Appleby创建于2008年,现已应用到Hadoop、libstdc++、nginx、libmemcached等开源系统。2011年Appleby被Google雇佣,随后Google推出其变种的CityHash算法。 一致性哈希算法的主要步骤: 首先求出缓存服务器结...
Cerber Grid-开源
05-09
2. **大数据处理**:在数据挖掘、机器学习和人工智能等领域,Cerber Grid可以有效地处理海量数据。 3. **云计算服务**:作为云基础设施的一部分,Cerber Grid可以提高云平台的计算能力和服务质量。 4. **分布式...
高运算性能,低碰撞率的hash算法MurmurHash算法.zip
07-19
MurmurHash算法由Austin Appleby创建于2008年,现已应用到Hadoop、libstdc 、nginx、libmemcached,Redis,Memcached,Cassandra,HBase,Lucene等开源系统。2011年Appleby被Google雇佣,随后Google推出其变种的CityHash算法。 官方网站:https://github.com/aappleby/smhasherMurmurHash算法,自称超级快的hash算法,是FNV的4-5倍。官方数据如下: OneAtATime – 354.163715 mb/sec FNV – 443.668038 mb/sec SuperFastHash – 985.335173 mb/sec lookup3 – 988.080652 mb/sec MurmurHash 1.0 – 1363.293480 mb/sec MurmurHash 2.0 – 2056.885653 mb/sec 但也有文章声称,只有当key的长度大于10字节的时候,MurmurHash的运算速度才快于DJB。“从计算速度上来看,MurmurHash只适用于已知长度的、长度比较长的字符”wiki地址:https://en.wikipedia.org/wiki/MurmurHash 标签:hash
MurmurHash算法
Jokers_lin的博客
02-28 1744
MurmurHash:(multiply and rotate) and (multiply and rotate) Hash,乘法和旋转的hash 算法
探秘高效且灵活的Murmur3哈希库:打造你的数据处理利器!
最新发布
gitblog_00082的博客
05-10 441
探秘高效且灵活的Murmur3哈希库:打造你的数据处理利器! 项目地址:https://gitcode.com/spaolacci/murmur3 在追求高性能和高效率的软件开发,哈希函数扮演了至关重要的角色。今天,我们向你推荐一个基于Go语言实现的高效哈希库——murmur3,它是Austin Appleby原创的MurmurHash3算法的Go版本,拥有卓越的性能表现和丰富的功能特性。 项目...
MySql索引深入学习
spring_root的博客
08-29 226
1.数据库索引概念 在关系数据库,索引是一种单独的、物理的对数据库表一列或多列的值进行排序的一种存储结构,它是某个表一列或若干列值的集合和相应的指向表物理标识这些值的数据页的逻辑指针清单。索引的作用相当于图书的目录,可以根据目录的页码快速找到所需的内容。 2.索引优点和缺点 1>优点 索引可以避免全表扫描,加快查询速度。多数查询可以仅扫描少量索引页及数据页,而不是遍历所有...
Cerber -- security module for FreeBSD-开源
05-04
Cerber-系统防火墙机制。 这是一个内核模块,它是FreeBSD的完整安全解决方案。
spiral-cerber:Spiral 框架的认证和授权间件
06-17
赛伯框架的认证和授权间件安装 npm install spiral-cerber --save执照麻省理工学院许可证 (MIT) 版权所有 (c) 2014-2015 Krzysztof Winiarski 特此授予任何人免费获得本软件副本和相关文档文件(“软件”)的许可...
TkCerber-开源
05-02
项目描述:Tk-Cerber是一种客户端/服务器软件,旨在简化Linux QoS功能的易用性。 它在服务器端用Perl编写,在客户端用Perl / Tk编写。 平台:GNU / Linux
WannaCry、CTB-Locker、Cerber样本
03-02
资源是WannaCry、CTB-Locker、Cerber样本,解压后将后缀名为exe即可运行,一定要在虚拟机运行,且虚拟机一定要与宿主机隔离、必须断网,否则会造成不可逆转的损失。 若在使用本资源时造成损失,本人概不负责...
murmurhash
06-12
murmurhash 高运算性能,低碰撞率
murmur-hash:MurmurHash3 算法的 javascript 实现
06-26
杂音哈希 (v3) 散列算法的 javascript 实现。 安装 $ npm install murmur-hash 用法 var murmurHash3 = require('murmur-hash').v3; 例子 // Return a 32bit hash as a unsigned int: > murmurHash3.x86.hash32("I will not buy this record, it is scratched.") 2832214938 // Return a 128bit hash as a unsigned hex: > murmurHash3.x86.hash128("I will not buy this tobacconist's, it is scratched.") "9b5b7ba2ef3f7866889adeaf00f3f9
murmurhash-js, MurmurHash算法的优化JavaScript实现.zip
09-18
murmurhash-js, MurmurHash算法的优化JavaScript实现 MurmurHash.jsMurmurHash算法的优化JavaScript实现。这些算法采用一个JavaScript字符串( 还有种子),并快速创建一个非加密的32位 散列。 我的意思是亚毫秒性能。有关这些算法的更多信息可以在以下
murmurhash3-rs
05-20
MurmurHash3.rs rust实现。 包括32位和128位版本。 128位版本使用64位数据类型实现,使其最适合x86_64或其他64位体系结构。 用法 在您的Cargo.toml : [ dependencies ] murmurhash3 = " * " 然后,您可以开始使用murmurhash3_x86_32或murmurhash3_x64_128 : use murmurhash3 :: murmurhash3_x64_128; fn hash_value () { let data = "test data" ; let seed = 48221234 ; let hash = murmurhash3_x64_128 (data. as_bytes (), seed); } 不幸的是, HashState库实现存在一个错误,该错误阻
一致性哈希(consistent hash
HFHHXH的专栏
04-09 618
设计目标是为了解决因特网的热点(Hot spot)问题 一致性哈希提出了在动态变化的Cache环境,哈希算法应该满足的4个适应条件: 平衡性(Balance) 平衡性是指哈希的结果能够尽可能分布到所有的缓冲去,这样可以使得所有的缓冲空间都得到利用。很多哈希算法都能够满足这一条件。 单调性(Monotonicity) 单调性是指如果已经有一些内容通过哈希分派到了相应的缓冲,又有新的
Hash算法--[murmurhash2算法 和 DJB Hash算法]
weixin_34381666的博客
06-14 413
为什么80%的码农都做不了架构师?>>> ...
MurmurHash3原理讲解
qq_44932835的博客
01-04 3362
Murmur哈希是一种非加密函数的哈希函数,下面我们在介绍哈希函数之前我们需要了解一下什么是好的哈希函数。 1.好的哈希函数应该卡方测试(chi-squared test) 卡方测试: Xc2=∑i=0N−1(Oi−Ei)2/Ei,其Oi为观察量,而Ei为估计量{X_c^2 = \sum_ {i=0}^{N-1}(O_i-E_i)^2/E_i},其O_i为观察量,而E_i为估计量Xc2​=∑i=0N−1​(Oi​−Ei​)2/Ei​,其Oi​为观察量,而Ei​为估计量 我们测试的方案就是给出大量的数据
hash算法MurmurHash
jiangbb8686的博客
01-19 403
先看看string的默认hash方法,代码如下 /** * Returns a hash code for this string. The hash code for a * {@code String} object is computed as * <blockquote><pre> * s[0]*31^(n-1) + s...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值