这篇文章给大家分享的是有关redress软件是一款什么工具的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
0x01 Go代码概览
我们要分析的样本是一个从恶意软件中单独剥离出来的ELF可执行文件,剥离出来的可执行文件会增加逆向分析的难度,因为我们还需要做很多额外的工作来还原二进制文件中的符号。不过还好有redress工具可以帮助到我们,redress软件是一款专门用来分析Go代码的工具,它可以从代码中提取出数据,然后利用这些数据来重构符号并执行分析。
下面是我们使用该工具和参数“-src”分析后得到的输出结果:
从上图中我们可以看到,恶意软件的源代码包含了三个Go文件,里面都是代码所实现的功能函数以及对应的代码行数。通过对比某些函数名称,我们可以知道这个恶意软件大概率是一个勒索软件。但是,源代码的行数大概只有300行,所以这个勒索软件应该不是很复杂,而且很有可能还处于初始开发阶段。
接下来,我们在调试器中进行动态调试。这里我使用了Radare2作为调试器,Radare2可以分析Go源码,并通过分析命令来恢复代码中的符号,这也是我选择Radare2作为调试器而不选择GDB的原因。
0x02 Go源码动态分析
Radare2中的命令“aaa”可以执行一次自动化分析任务,从下图中我们可以看到,Radare2恢复并识别出了函数名称以及符号名称:
我们可以看到,函数init()会在main函数前执行,int()会调用函数check()。在check()中,恶意软件首先会通过向hxxps://ipapi.co/json/发送一个http请求来获取受感染设备的信息。接下来,它会过滤掉白俄罗斯(BY), 俄罗斯(RU)和乌克兰(UA)这三个国家来避免恶意软件在这三个国家的用户设备上运行。
在main()函数中,首先会删除掉Go代码,然后调用函数randSeq()来生成一个大小为0x20字节的随机AES秘钥:
接下来,它会调用函数makesecret(),它主要用来利用代码中硬编码的RSA公钥来加密AES秘钥。在这个函数中,代码会调用函数EncryptPKCS1v15()并使用RSA加密算法来加密给定的AES秘钥。
下面就是RSA算法加密后的秘钥数据:
然后,它会调用函数EncodeToString()来对之前的加密数据进行Base64编码:
接下来,它会为解密后的READEME文件分配一个缓冲区:
加密后的AES秘钥已经以Base64编码格式写入到了解密后的README文件中。
在勒索软件加密文件之前,它会使用“service stop [pname]”或“systemctl stop [pname]”命令来终止下列进程的运行:
当它尝试终止apache2.service时,会弹出一个标题为“Authentication Required”的对话框,此时需要用户输入系统密码来完成操作。
最后,恶意软件会调用函数Walk(root string, walkFn WalkFunc)来从根目录“/”处开始遍历文件,并对这些文件进行加密处理。
这款恶意软件使用了AES-256-CFB算法来加密目标文件,加密后的文件后缀会添加一个“.encrypted”字符串。README文件内容如下:
EncFile()函数主要负责对文件进行加密,它首先会获取待加密文件的大小,如果文件大小不超过0x986880(1,000,000)字节,它就会选择使用AES-256-CFB算法来对全部的文件数据进行加密。否则,它会读取目标文件的前0x986880(1,000,000)个字节的数据进行加密,然后将源文件中剩下的数据追加到加密文件数据的结尾处。
0x03 总结
根据我们的分析,这款恶意软件其实并不复杂,而且很可能仍处于前期开发阶段。在将来,我们可能会看到越来越多采用Go语言开发的恶意软件,我们也会持续监控和过滤采用Go语言开发的恶意软件。
入侵威胁标识符IoC
SHA256: 50470f94e7d65***bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0bIoC: fullofdeep<at>protonmail.com
感谢各位的阅读!关于“redress软件是一款什么工具”这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/tech/safety/220595.html