学习札记-脚本木马的静态启发查杀

admin 2022年11月11日10:33:09安全文章评论6 views1760字阅读5分52秒阅读模式



脚本木马样本的静态启发查杀

找出下载者木马链接的网站

运行样本文件通过process explore监测,找出所以来运行的PE类

学习札记-脚本木马的静态启发查杀

利用OD下断点 bp UrlCanonicalizeA/W找到下载链接

学习札记-脚本木马的静态启发查杀

对混淆方式的分析

发现存在大量注释来改变位移偏量

学习札记-脚本木马的静态启发查杀

许多用来混淆的双引号与加号隔开网址以及通过ASCII码来规避GET字符

学习札记-脚本木马的静态启发查杀

构造python实现解密

对可疑字符串的选取与匹配,利用正则匹配比较限定条件来判断混淆技术是否存在

学习札记-脚本木马的静态启发查杀

得到解密后的文件经过进一步简化从而获取文件的本质

学习札记-脚本木马的静态启发查杀

# -*- coding: utf-8-*-
import sys
import re
import os

def RegularModify(fileName):

       pattern_notes = re.compile(r'/*{1,2}[sS]*?*/')
       pattern_plus = re.compile(r'"[sS]{0,1}+[sS]{0,1}"')
       pattern_ascii= re.compile(r'(\x([0-9][0-9A-Za-z]))')
       oriFile = open(fileName)
       s = oriFile.read()
       s = pattern_notes.sub('',s)
       s = pattern_plus.sub('',s)
       generateFile = open(fileName + "_Gen",'w')
       ret = pattern_ascii.findall(s)
       for i in ret:
             s = s.replace(i[0], chr(int(i[1],16)))
       generateFile.write(s)
       generateFile.close()
       oriFile.close()
def FileDetect(fileName):
       ori = os.path.getsize(fileName)
       after = os.path.getsize(fileName + "_Gen")
       generateFile = open(fileName + "_Gen",'r')
       download = 0; file = 0;
       for lines in generateFile:
             if lines.find('GET') != -1 and lines.find('http') != -1:                  
                    download += 1
             elif lines.find('.exe') != -1 and lines.find('%TEMP%') != -1:
                    file += 1    
       if download and file and (ori/after>10):
             print (fileName + "  detected  HEUR:Trojan-Downloader.JS.Notes.gen")
       else:
             print (fileName + "  Clean")
       generateFile.close()
       
def Main():
       RegularModify(sys.argv[1])
       FileDetect(sys.argv[1])

Main()

启发特征提取

eg:样本1  单个字符逐步输入的混淆样本

学习札记-脚本木马的静态启发查杀

使用通配符来避免恶意程序的变种

Sig_Static_Word ="C6 84 24 ?? ?? 00 00 ?? C6 84 24 ?? ?? 00 C6 84 24 ??? ?? 00 00 ?? C6 84 24 ?? ?? 00 00 ??"



原文始发于微信公众号(Th0r安全):学习札记-脚本木马的静态启发查杀

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月11日10:33:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  学习札记-脚本木马的静态启发查杀 http://cn-sec.com/archives/1403263.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: