欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

勒索病毒预防:分析一款代码经过混淆处理的勒索软件下载器

来源:本站整理 作者:佚名 时间:2017-08-29 TAG: 我要投稿

今天我们将给大家分析一个恶意HTML文档,这份HTML文档声称“如果用户想要查看UPS收据的话,则必须要下载一款兼容插件”。这个HTML文档中使用了HTML、JavaScript和混淆技术,接下来我们会带大家一步一步地分析这些恶意内容。
恶意文件细节
文件名:UPS-Receipt-008533234.doc.html
保护机制:经过混淆处理的HTML+JavaScript,以及UPX Exe
MD5:762B0F20C80995D3AC8A66716011C156
样本下载:【点我下载】
类型:钓鱼+木马下载器
细节分析
首先我们打开这个HTMl文档,此时我们将看到页面中的钓鱼信息。钓鱼信息表示,用户如果想要使用Office 365来查看UPS收据的话,则必须要下载一个兼容插件。

在对HTML文档的代码进行分析之后我们发现,里面所有的组件都包含在一个经过了Base64编码的文件中,而且该文件不需要引用任何外部图片或资源。

如果我们点击了页面中间的蓝色按钮并下载所谓的“兼容插件”,那么该页面将会下载一个ZIP文件。实际上它并不是通过外部网站下载的,因为这个ZIP文件本来就存在于这个HTML文档中。

在对这个ZIP文件进行分析之后,我们发现了一个JavaScript文件,而这个JS文件的文件名会诱使用户更加相信这是一个Office 365的兼容插件。

对这个JavaScript文件进行了分析之后,我们发现其中的JS代码经过了混淆处理,而代码的主要功能就是从五个单独域名的其中一个下载一份文件。这些域名保存在一个数组中,并且通过一个while循环来在数组中选择需要通信的域名,最后将域名信息追加到变量"cvetk"的末尾,而这个文件就是接下来需要下载的文件了。

其中的GET请求所收到的响应为 “HTTP错误301,页面永久移除”的错误信息:

但是这个HTTP 301错误信息所下载的文件又是另一个经过混淆处理的JavaScript文件,而这个文件所采用的混淆处理模式比之前的要好得多。

我们发现,这个文件似乎包含的只有一个逐渐追加的变量。下面给出的是我们在文本编辑器中处理了代码格式后的结果:

这个脚本又会生成另一个脚本,而第二个脚本则会通过结尾的EVAL来运行。为了提取出这个动态生成的脚本,我们将所有的"goxe"变量连接了起来,然后留下了如下所示的字符串(与结尾的EVAL有关):

我们可以对这个字符串的格式进行进一步的调整,并得到可读性更强的脚本代码,接下来我们就能够使用WSCRIPT来对脚本进行调试了:

经过了格式化处理之后,我们就可以使用命令

wscript.exe //X file.js
来对这个JavaScript文件进行调试了。我们可以从代码调试的过程中看到,这个脚本会随机生成一段文本文字,并将其显示在Office文档中。

接下来,这个Office文档会写入目标系统的磁盘中并运行,其实这个Office文档的作用只是为了分散用户的注意力的。这个文档中包含的是一堆不可读的文本信息(乱码),具体如下图所示:

接下来,我们就要分析这种恶意活动中的钓鱼行为了,实际上其最终目的就是为了在目标用户的计算机中下载一个恶意木马。我们在脚本代码中发现,该脚本会选择五个域名中的其中还一个,并在末尾追加一个非常长的字符串变量。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载