利用互联网基础服务提升恶意软件的信誉度

其实这并不是什么新奇的点子。仅作记录。

借助一些手段，我们可以很容易的伪造恶意软件的通信为正常服务的通信。比如windows update、bing搜索等云云。于是我有了一个不成熟的想法：利用互联网基础服务提升恶意软件的信誉度

现在比较流行“分离免杀”，也就是将本身恶意代码与落地的client进行分离。既然如此，那我们也可以将一些基础服务返回的字段用做加载shellcode的关键key。例如现在做了一个模仿windows update通信的client。我们就可以使用 http://dl.delivery.mp.microsoft.com/ 中的固定字段来作为shellcode的解密key,例如http header中返回的Content-Type: text/html、Server: Microsoft-IIS/10.0、X-Powered-By: ASP.NET、X-Powered-By: ARR/3.0、X-Powered-By: ASP.NET。亦或者DNS返回的IP（定期会有变化，只能短期使用。）

不过使用microsoft.com也会容易当作系统自己产生的，不能达到混淆分析人员的目的。这时候就需要一些不“那么基础”的设施。例如产生向安全厂商的通信，向软件厂商的通信等，总之就是要产生“绝对白名单”的相关通信，无论是沙箱机器 还是真正的分析人员 都会造成一定的“威胁减分”。

同理，也可以用来做一些“栽赃”。比如在软件运行时候解析某知名大佬博客，不论结果如何，只需要对分析人员造成诱导，那么目的就达到了。