每種解釋型語言都有自己的逆向工具,所以首先要弄清這個東西它到底是什麼編譯器編譯的,比如使用一些工具對他它進行查看。
這是一個.net的程序,我們就要使用它專門的工具SPY,把惡意程序拖進去分析。
可以從它的入口處做一個分析,裏邊執行了這麼幾個程序,首先是有一個regedit的註冊。
解釋型的語言限於本身特點很難把加密做得特別的好,最多是做一下混淆,所謂的混淆就是用一些工具把這些函數名改得亂七八糟,讓你沒有辦法通過函數名猜測ta到底做了什麼。 我們有專門的工具可以反混淆,只不過反混淆以後的代碼沒有未經過混淆的代碼清晰。
惡意程序沒有經過混淆,所以我們反編譯回來的代碼跟之前的代碼是一樣的。
我們看到這裏邊它有一個download,第1個download用到的url和path,說明他要從這裏邊下載一個惡意程序,下載後放在pass指定的位置。這裏面暴露了好多信息,包括這裏面註冊表信息,我們能看到它的持久化方式。
針對當前的惡意程序可以作出結論:它就是一個下載者。
這個程序從代碼的角度看非常簡單也沒有對抗,從流量側把它剪出來的難度卻是最高的。
我們再看另一個下載的程序——配置文件
線程中發現upload回傳,那麼它回傳的數據是從哪裏來?
使用base64解密,解密的時候只解密了第1行,打開文件後我們看下第一行數據。我們沒必要自己寫腳本去解可以直接百度在線轉碼。
通信方式總結
先連接一個可信站點,然後下載鍵盤記錄器(盜號木馬)、下載配置文件,用解密出來的數據來實現回傳。這種通信方式的特點就是整個過程沒有C&C,唯一產生的網絡流量,就是到白站上去下載數據的流量,樣本從從流量測來說,是比較難發現的一類。
