redress軟件是一款什么工具

這篇文章給大家分享的是有關(guān)redress軟件是一款什么工具的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過來看看吧。

0x01 Go代碼概覽

我們要分析的樣本是一個(gè)從惡意軟件中單獨(dú)剝離出來的ELF可執(zhí)行文件，剝離出來的可執(zhí)行文件會(huì)增加逆向分析的難度，因?yàn)槲覀冞€需要做很多額外的工作來還原二進(jìn)制文件中的符號(hào)。不過還好有redress工具可以幫助到我們，redress軟件是一款專門用來分析Go代碼的工具，它可以從代碼中提取出數(shù)據(jù)，然后利用這些數(shù)據(jù)來重構(gòu)符號(hào)并執(zhí)行分析。

下面是我們使用該工具和參數(shù)“-src”分析后得到的輸出結(jié)果：

從上圖中我們可以看到，惡意軟件的源代碼包含了三個(gè)Go文件，里面都是代碼所實(shí)現(xiàn)的功能函數(shù)以及對(duì)應(yīng)的代碼行數(shù)。通過對(duì)比某些函數(shù)名稱，我們可以知道這個(gè)惡意軟件大概率是一個(gè)勒索軟件。但是，源代碼的行數(shù)大概只有300行，所以這個(gè)勒索軟件應(yīng)該不是很復(fù)雜，而且很有可能還處于初始開發(fā)階段。

接下來，我們?cè)谡{(diào)試器中進(jìn)行動(dòng)態(tài)調(diào)試。這里我使用了Radare2作為調(diào)試器，Radare2可以分析Go源碼，并通過分析命令來恢復(fù)代碼中的符號(hào)，這也是我選擇Radare2作為調(diào)試器而不選擇GDB的原因。

0x02 Go源碼動(dòng)態(tài)分析

Radare2中的命令“aaa”可以執(zhí)行一次自動(dòng)化分析任務(wù)，從下圖中我們可以看到，Radare2恢復(fù)并識(shí)別出了函數(shù)名稱以及符號(hào)名稱：

我們可以看到，函數(shù)init()會(huì)在main函數(shù)前執(zhí)行，int()會(huì)調(diào)用函數(shù)check()。在check()中，惡意軟件首先會(huì)通過向hxxps://ipapi.co/json/發(fā)送一個(gè)http請(qǐng)求來獲取受感染設(shè)備的信息。接下來，它會(huì)過濾掉白俄羅斯(BY), 俄羅斯(RU)和烏克蘭(UA)這三個(gè)國家來避免惡意軟件在這三個(gè)國家的用戶設(shè)備上運(yùn)行。

在main()函數(shù)中，首先會(huì)刪除掉Go代碼，然后調(diào)用函數(shù)randSeq()來生成一個(gè)大小為0x20字節(jié)的隨機(jī)AES秘鑰：

接下來，它會(huì)調(diào)用函數(shù)makesecret()，它主要用來利用代碼中硬編碼的RSA公鑰來加密AES秘鑰。在這個(gè)函數(shù)中，代碼會(huì)調(diào)用函數(shù)EncryptPKCS1v15()并使用RSA加密算法來加密給定的AES秘鑰。

下面就是RSA算法加密后的秘鑰數(shù)據(jù)：

然后，它會(huì)調(diào)用函數(shù)EncodeToString()來對(duì)之前的加密數(shù)據(jù)進(jìn)行Base64編碼：

接下來，它會(huì)為解密后的READEME文件分配一個(gè)緩沖區(qū)：

加密后的AES秘鑰已經(jīng)以Base64編碼格式寫入到了解密后的README文件中。

在勒索軟件加密文件之前，它會(huì)使用“service stop [pname]”或“systemctl stop [pname]”命令來終止下列進(jìn)程的運(yùn)行：

當(dāng)它嘗試終止apache2.service時(shí)，會(huì)彈出一個(gè)標(biāo)題為“Authentication Required”的對(duì)話框，此時(shí)需要用戶輸入系統(tǒng)密碼來完成操作。

最后，惡意軟件會(huì)調(diào)用函數(shù)Walk(root string, walkFn WalkFunc)來從根目錄“/”處開始遍歷文件，并對(duì)這些文件進(jìn)行加密處理。

這款惡意軟件使用了AES-256-CFB算法來加密目標(biāo)文件，加密后的文件后綴會(huì)添加一個(gè)“.encrypted”字符串。README文件內(nèi)容如下：

EncFile()函數(shù)主要負(fù)責(zé)對(duì)文件進(jìn)行加密，它首先會(huì)獲取待加密文件的大小，如果文件大小不超過0x986880(1,000,000)字節(jié)，它就會(huì)選擇使用AES-256-CFB算法來對(duì)全部的文件數(shù)據(jù)進(jìn)行加密。否則，它會(huì)讀取目標(biāo)文件的前0x986880(1,000,000)個(gè)字節(jié)的數(shù)據(jù)進(jìn)行加密，然后將源文件中剩下的數(shù)據(jù)追加到加密文件數(shù)據(jù)的結(jié)尾處。

0x03 總結(jié)

根據(jù)我們的分析，這款惡意軟件其實(shí)并不復(fù)雜，而且很可能仍處于前期開發(fā)階段。在將來，我們可能會(huì)看到越來越多采用Go語言開發(fā)的惡意軟件，我們也會(huì)持續(xù)監(jiān)控和過濾采用Go語言開發(fā)的惡意軟件。

入侵威脅標(biāo)識(shí)符IoC

SHA256: 50470f94e7d65***bf00d7416a9634d9e4141c5109a78f5769e4204906ab5f0bIoC: fullofdeep<at>protonmail.com

感謝各位的閱讀！關(guān)于“redress軟件是一款什么工具”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！