Zatímco šifrování používá robustní matematiku k ochraně komunikace s jasně daným klíčem a hashování slouží k bezpečné jednosměrné kontrole dat, obfuskace (zamlžení) na to jde jinak. Netransformuje data pod zámek, ale maskuje je a schovává.

Cílem obfuskace je ztížit a maximálně znepříjemnit analýzu. Útočníci a tvůrci malwaru ji využívají k oklamání detekčních systémů (např. běžných antivirů) nebo k oddálení momentu, kdy kybernetický analytik přijde na to, co program ve skutečnosti dělá.

Nejběžnější metody obfuskace u Malwaru

  1. Dead Code Insertion (Vkládání balastu) Tvůrce malwaru vloží do svého původního zdrojového kódu tisíce řádků naprosto zbytečných matematických operací a příkazů. Kompilátor z toho vytvoří spletitý zmatek programu, čímž program zcela zamaskuje svůj skutečný původní podpis, přestože reálná destruktivní část zůstává funkční kdesi pohřbená uprostřed.

  2. String Manipulation (Rozbití textových řetězců) Antiviry snadno chytnou malware, pokud v jeho těle najdou rozeznatelný text, např. URL adresu na http://zly-server.cz/stranka.php. Útočníci proto tento text před kompilací natrhají na písmena, otočí je pozpátku nebo k nim přidají znaky, aby antivir takovou adresu v systému nevyčetl. Obnoví se až ve vteřině samotného spuštění příkazu přímo v paměti RAM.

  3. Packers a Crypters (Baličky a Maskovače) Programátoři zabalí kompletní infikovaný soubor (jako do .zip archivu) pomocí specializovaného obfuskátoru a přiloží k němu pouze miniaturní spouštěcí kód “stub”. Když soubor rozkliknete, na disk se soubor jeví nevinně a jinak. V momentě exekuce ten malinkatý “stub” načte paměť, “vysaje” do ní skutečný zlomyslný skrytý obsah balíčku a okamžitě jej z té operační paměti spustí (bez zápisu na disk, tz. Fileless operace).

Obfuskace v rukách Phishingu

Obfuskace není výsadou jen u programování. Úspěšně se zneužívá k oklamání uživatelových očí v e-mailech nebo u internetových prohlížečů:

  • Homoglyfy (Písmena z jiné abecedy): Útočníci koupí doménu, kde například písmeno a nahradí písmenem а z ruské cyrilice (azbuky). Oči uživatele to na liště prohlížeče absolutně nerozeznají (např. www.арple.com). Ve skutečnosti jste na doméně útočníka a odevzdáváte heslo.
  • Zero-Width Spaces: Vkládání neviditelných mezer do slov P a y P a l tak, aby strojové e-mailfiltry na SPAM v Googlu toto slovo fyzicky nenačetly a zprávu propustily do doručené pošty i přes její silnou závadnost. Z pohledu běžného člověka ale na obrazovce přečtete jednolitý text PayPal bez zvláštností.
  • Obfuskace URL (URL Shorteners): Zkracovače odkazů jako přeskočení klasické struktury linků na bit.ly/12Aks8, aby uživatel neviděl, že odkaz doopravdy vede hluboko do sdíleného nezabezpečeného adresáře se zavirovaným skriptem pro stažení.