某go木马样本分析

 Part1 样本微步分析    

先将样本丢进微步沙箱。可以看到，样本报毒，并且有外联和虚拟机检测。

 Part2 逆向分析  

0x01 IDA反编

通过反编exe发现文件go程序编译特征，并且制作者常使用美国时区，并且以英文作为常用语言。    

0x02 编译信息提取

这里可以看到一些编译信息，包括木马制作者的用户名和编译路径等信息，具体如下。    

提取go程序中函数，并构建木马文件图谱

构建木马文件结构如下:

main.go           ---主程序入口

/common/common.go     ---通信AES密钥储存类

/bot

/attack.go      ---远程加载shellcode，窃取浏览器敏感信息

/tools.go       ---用于注册移除系统注册表，显隐运行窗口

/bot.go         --- 总线控制器，用于控制木马程序的活动，扩展相关接口

/data.go

/iattack.go    ---控制器(单一运行校验)

 Part3 行为分析  

运行之后，程序会调用如图dll，创建快捷启动类，并挂起后台运行。

原文始发于微信公众号（影流R）：某go木马样本分析