GO恶意样本实例分析
2021-01-14 18:58:00 Author: mp.weixin.qq.com(查看原文) 阅读量:232 收藏

本文为看雪论坛优秀文章

看雪论坛作者ID:Heavenml

最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言的分析基础有一定了解。

在平常的工作中遇到的情况来看,go语言的恶意样本可以分为如下的三个等级以及对应的等级的说明。

  • 非常简单:未去除符号以及未混淆的的恶意软件。

  • 一般简单:去除符号的恶意软件。

  • 困难:混淆的恶意软件。
    我找了几个对应的样本,大家可以一起学习学习。

未去除符号以及未混淆的的恶意软件

WellMesss是疑似具有俄罗斯背景的APT组织,在今年披露的该组织的一个样本(Botlib)是使用go语言编写的,具有Linux和Windows双平台的版本,在这里分析了Linux版本的Botlib。


md5:4d38ac3319b167f6c8acb16b70297111

通过函数名,我们可以很清楚的看到,该样本是未被去除符号的。通过函数名和源代码路径可以对该样本的功能有一个基本的认识。

该样本在其中之后,与C2服务器交换数据,将ip地址,计算机名等信息计算sha256后拼接成用户信息,将其使用rsa算法加密之后,发送到C2,并通过http的cookie携带使用rc6加密的指令信息。通信成功后,会获取下一阶段的执行指令。

如下图为发送的数据:
cookie携带的数据为如下数据加密后的:
<;head;>3139322e3136382e35362e3132387c7c72656d6e75787c72656d6e7578e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/p<;head;><;title;>a:1_0<;title;><;service;>p<;service;>
有大佬分享了wellmess botlib cookie数据的解密脚本wellmess_cookie_decode.py

在获取C2下发的数据后,解密后通过service字段的值执行不同的任务


去除符号的恶意软件

Zebrocy downloader是APT28组织的一个用于初始攻击的攻击组件,常常和诱饵文档被打包都一起,诱惑目标用户点击执行,在2018年左右,APT28使用go语言写了第一个版本的zebrocy downloader版本,这也是我分析的第一个go语言的恶意程序。样本md5:6bc5f53d4082f12dd83aca45bae81e64
  

go zebrocy 此版本使用时间范围在2018年左右,针对欧洲的外交机构进行攻击。功能方面与zebrocy的其他的版本无大的差别。在查阅了相关的信息确认后,这应该APT28首次将go语言纳入武器库开发语言,也是首次go zebrocy用于实际的攻击。
  

go zebrocy将符号信息已经去除掉了,借用ida的插件IDAGolangHelper对go zebrocy符号进行还原。
  

样本执行之后,首先判断文件名中是否包含“)”,以确定样本没有被使用hash进行命名,以躲避一些自动化分析。

  
接着获取目标计算机系统信息。主要获取的信息有system info,tasklist,磁盘信息以及屏幕截图。
1. 通过cmd执行systeminfo,获得系统基础信息。

2. 通过cmd执行tasklist,获得系统进程信息。

3. 通过cmd执行wmic命令,获取系统磁盘信息。

4.通过调用第三方截图包screenshot,获取截图数据。

最后利用post对相关数据进行上传,并根据C2返回的数据利用cmd执行系统命令。

运行时符号

  
IDAGolangHelper是通过什么来恢复二进制文件的符号的呢?
  

IDAGolangHelper利用的是golang的运行时符号,在go编译的二进制文件中,存在一张表(pclntable)用于记录go二进制文件的运行时符号。在go编译的elf文件中,存在一个pclntable section用来存储这这张表。

pclantable会保存什么数据呢?

1.funcs

2.src_path
  
IDAGolangHeader的重命名函数的功能是通过pclntable来实现的,通过遍历二进制文件查找标记值0x0FFFFFFFB,从而确定pclntable的地址。
pclntable的结构如下所示,通过遍历funcs表,得到func_struct,通过func_struct的name_offset字段获取函数名称,进而重命名函数。
typedef struct Funcs{    DOWRD func_entry;    DOWRD func_struct_offset;}funcs;typedef struct Pclntab{    DWORD magic;   //0x0FFFFFFFB    WORD  reserve; //0x0000    Byte  ptrsion;    DWORD func_numbers;    funcs funcs[func_numbers];}pclntab;
func_struct的结构如下所示。

混淆的恶意软件

近期,在看360net lab发布的一篇文章Blackrota, a heavily obfuscated backdoor written in Go时,看到了go语言的混淆手段,在文章中,攻击者使用开源的混淆工具gobfuscate对语言的源代码进行混淆,在对混淆之后的代码进行编译,以提高分析的难度。



根据gobfuscate的描述,gobufuscate会在源码级别混淆如下的数据:
1.包名
2.全局变量名
3.函数名
4.类型名
5.方法名
我们使用如下的代码来测试以下gobfuscate的混淆:
package main import(    "fmt"    "io/ioutil"    "net/http")var url = "https://www.baidu.com/";func httpget() string {    client := &http.Client{}    req, _ := http.NewRequest("GET",url,nil)    req.Header.Set("Connection","Keep-Live")    res,err := client.Do(req)    if err != nil{        fmt.Println("do error\n")        return "NULL"    }    defer res.Body.Close()    body,err := ioutil.ReadAll(res.Body)    return string(body)}func main(){     var body = httpget()    fmt.Println(string(body))}
首先gobfuscate生成的二进制文件符号是被抹除掉的:
使用go_parser对生成的二进制文件的符号进行解析,可以发现其源代码路径也被混淆了,但是源代码的文件名并没有被混淆。
函数名使用随机字符串混淆了。
对于每一个字符串,都会产生一个对用的解密函数,使用xor会字符串进行混淆。

学到了什么:

1. IDAGolangHeader恢复go 符号的原理

2. gobfuscate的混淆原理

参考

Blackrota, a heavily obfuscated backdoor written in Go

deobfuscation-of-gobfuscate-golang-binaries

- End -

看雪ID:Heavenml

https://bbs.pediy.com/user-home-771815.htm

  *本文由看雪论坛 Heavenml 原创,转载请注明来自看雪社区。

# 往期推荐

公众号ID:ikanxue
官方微博:看雪安全
商务合作:[email protected]

球分享

球点赞

球在看

点击“阅读原文”,了解更多!


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458379543&idx=1&sn=fc1969c9926189fcd1f127baf3b381d2&chksm=b180d59d86f75c8bf072974c3f74b99815d2fa38a6165fc9196c4701c8e329c61a3522b44bac#rd
如有侵权请联系:admin#unsafe.sh