一个伪装toDesk的恶意样本的分析

文件本身是个7z我就先解压出来了，所以hash不太一样。

SHA256：9eb8a287abfea3a421a53aa0b10b8eebabb8989deb7b04c1020add2e14effde0

文件分析

64位pe，看不出有什么特征：：

我们使用微步云沙箱可以检出大量恶意信息，以及流程框架，方便我们后续分析和研判：

行为分析

进程行为

创建了一个tmp.exe的子文件进程然后什么都没有，感觉和微步的行为分析差距有点大（其实是因为后续存在反沙箱反虚拟机，微步可能绕过了这块）。

文件行为

只有一个文件释放，签名有效，判定为白文件，应该是做伪装用的。

注册表行为

无写入：

网络行为

未检出：

详细分析

go语言写的文件，我们先进入main_init中看看，初始化了很多系统的函数。

然后我们进入main_main中看看主程序如何：

提示符非常露骨啊，首先是获取了自身路径，然后解密、释放、执行白文件tmp.exe(todesk安装包)，下面说的载荷就是这个白文件了。

然后第二个载荷是我们需要特别关注的，再次之前，我们需要关注下以下这个函数，里面存在反沙箱、安全绕过、权限维持等操作，我们进入看看。

这不是我改的名字，这个文件没有去掉符号。

第一个AntiSandbox有非常多如下所示的反沙箱以及反虚拟机。

内 部反调试，遍历进程，识别退出：

第二个bypassAmsi不必多说，常规：：

第三个权限维持，注册表实现，键值为Win-Update：

第四个互斥运行：

然后就是恶意文件的载入了：

其载入的流程为解密数据生成pe文件，然后手动载入内存，跳转entrypoint并执行。

这里就不放过程了哈，位置就在上面（主要是调试完了，没留下过程截图）。

恶意载荷也是go语言编写的文件，main_init中还是和前面一个一样加载系统函数，我们主要看看main_main，一进函数就可以看到，潜伏，不知道为什么这个sleep这么长先不管了，之后显示窃取了todesk的账密，然后窃取了很多很多浏览器这类相关的隐私文件，关于网址，微步可以检出并识别画像。

之后就是访问恶意网址下载shellcode，因为样本很新，所以可以直接下载下来。

关于这个文件的后续就是文件载入并执行了，就不往下继续写了。

我们来看释放的文件， 用hashdb恢复了一些符号，这在之前的样本中出现过，很经典。

划 下去一点，c2就出来了：

微步同样检出：

连接获取数据然后又下载了一个pe，解密并执行（到底什么时候能够停止这种套娃行为）。

我们再来看看下载的文件（数不清第几个了），一个exe，附加里面有个shellcode，我们还是先来看看文件吧。

行为分析一下，没有啥可执行文件落地了微步没有显示额外的东西了。