相对于Stage 1，Stage 2没有太多骚操作，更多的是为后期扩展做准备。

# 环境准备

与Stage 1相同，木马首先设置daemon、自删除：

解密相关字符串，这里的字符串包括：版本/架构信息、公网Tor Socks代理地址、C2 URL信息：

加密方式也与Stage 1相同，唯一的区别是Key变更为：g&*kdj$dg0_@@7'x：

而后根据自身文件名称创建工作目录，并写入SSL相关密钥：

# 配置Tor

在与C2通信之前，木马首先下载并运行Tor：

具体的操作是通过硬编码的公网socks代理连接C2服务器，进行下载并运行：

# C2通信

在Tor配置完成后，通过Tor连接C2地址，样本中的是：

首先回传基本信息，通知C2上线，上传的基本信息包括IP、MAC、木马版本等：

而后与C2通信，支持的命令包括：download、exec、reboot等：

以exec为例分析，调用常见shell执行命令：

# 关于Stage 3

一些分析文章将Stage 2中下载的模块称为Stage 3，个人拿到的样本中这一部分只有两个模块：

• Tor通信：独立于主程序、X86

• 后渗透：多个漏洞利用、网络嗅探等、MIPS

但可以推断的是，还有更多的模块待发掘，或正处于编写中。

这部分是对木马功能的补充，但相较于整体而言，对其进行逆向的学习价值已不大，知其然即可。