MurmurHash是一种非加密型哈希函数,适用于一般的哈希检索操作。 由Austin Appleby在2008年发明,并出现了多个变种,都已经发布到了公有领域。与其它流行的哈希函数相比,对于规律性较强的key,MurmurHash的随机分布特征表现更良好。当前的版本是MurmurHash3,能够产生出32-bit或128-bit哈希值。
MurmurHash算法具有高运算性能,低碰撞率等特点,这也人使的近些年对MurmurHash的使用风生水起,目前应用MurmurHash 的开源系统包括Hadoop、libstdc++、nginx、libmemcached。
Murmur hash 算法实现
根据维基百科上给出的伪代码,我们使用python实现 murmur hash算法,如下:
c2 = 0x1b873593 r1 = 15 r2 = 13 m = 5 n = 0xe6546b64 length = len(data) h1 = seed rounded_end = (length & 0xfffffffc) # every block contain 4 bytes for i in range(0, rounded_end, 4): # translate to little endian load order k1 = (ord(data[i]) & 0xff) | ((ord(data[i + 1]) & 0xff) << 8) | \ ((ord(data[i + 2]) & 0xff) << 16) | (ord(data[i + 3]) << 24) k1 *= c1 k1 = (k1 << r1) | ((k1 & 0xffffffff) >> (32-r1)) # ROTL32(k1,15) k1 *= c2 h1 ^= k1 h1 = (h1 << r2) | ((h1 & 0xffffffff) >> (32-r2)) # ROTL32(h1,13) h1 = h1 * m + n # the last block which is < 4 bytes k1 = 0 val = length & 0x03 # the last block is 3 bytes if val == 3: k1 = (ord(data[rounded_end + 2]) & 0xff) << 16 # the last block is 2 bytes if val in [2, 3]: k1 |= (ord(data[rounded_end + 1]) & 0xff) << 8 # the last block is 1 bytes if val in [1, 2, 3]: k1 |= ord(data[rounded_end]) & 0xff # translate to little endian load order k1 *= c1 k1 = (k1 << r1) | ((k1 & 0xffffffff) >> (32-r1)) k1 *= c2 h1 ^= k1 # finalization h1 ^= length h1 ^= ((h1 & 0xffffffff) >> 16) h1 *= 0x85ebca6b h1 ^= ((h1 & 0xffffffff) >> 13) h1 *= 0xc2b2ae35 h1 ^= ((h1 & 0xffffffff) >> 16) # for 32 bit, get the last 32 bits return h1 & 0xffffffff
对样本中的调用
murmurhash
的地方下断,可以看到对数据“
65 2F3B 3C D1 40 02 4C BA 68 C0 D0
”进行
hash
的结果为“
BF35B592
”
通过我们的脚本验证,对比结果,可以看到我们脚本的运行结果也为“BF35B592”
cerber勒索软件中对murmurhash算法的使用
cerber
勒索软件对murmurhash
函数的使用有两点我们要搞清楚。
1. Murmurhash函数的seed值为什么?
2. 勒索软件调用murmurhash的作用是什么?
对于第一个问题:
通过对cerber软件中murmurhash算法的逆向,可以看到seed的值为0,在下面的代码中的edx的值就为murmurhash算法的初始化的seed值
对于第二个问题
通过上图可以看出,cerber勒索软件中共有5处使用了murmurhash函数,实际上只在三个函数中调用了murmurhash函数,调用murmurhash函数的函数为:
40B074解密出勒索使用的config内容后,解析config内容
409ADE解密字符串函数中使用
401DB9加密文件时,生成murmurhash保存在加密后的文件中
通过自定义的数据结构填充加密信息,在这个加密信息的结构体中的一项指定的数据就是murmurhash计算的结果值,随后对使用全局的公钥加密这个数据结构,并将对其base64后的结果写入到注册表中。
在解密字符串中,使用murmur hash获得加密字符串的hash:
组成下面的数据结构
对这个数据结构所的块进行加密后,写入加密后的文件
总结
本文只是对cerber勒索软件中的murmurhash算法进行了分析,对这款勒索软件家族的描述可以参考网络上的其他文章。由于本人也是第一次听说murmur算法,文章为自己分析cerber勒索遇到新的加密算法时的一点学习总结,有分析不恰当的地方,还望海涵。
|
从Cerber勒索软件中学习murmurhash算法
最新推荐文章于 2024-06-26 09:52:31 发布