详细内容或原文请订阅后点击阅览
解码 DanaBot 下载器
摘要前几天我遇到了一个相当有趣的基于 VBS 的 DanaBot 下载程序,我认为值得快速写一下混淆方案和我观察到的其他几个 TPP。这次活动中使用的社会工程借口很有趣,因为它利用了“无人认领财产”主题的诱惑......阅读
来源:Security Soup _恶意软件分析摘要
前几天,我偶然发现了一个相当有趣的基于 VBS 的 DanaBot 下载程序,我觉得有必要对这种混淆方案和我观察到的其他几个 TPP 做一个简短的介绍。此活动中使用的社会工程借口很有趣,因为它利用了“无人认领的财产”主题诱饵,并需要用户交互来传递第一阶段的有效载荷。然后,VBS 文件会获取 DanaBot 下载程序。VBS 文件包含一个未混淆的嵌入式 URL,但实际的执行机制被编码在一个非常长的字符串中。
DanaBot在这篇博客中,我们将快速了解社会工程借口,然后回顾混淆方案本身。最后,我们将介绍三种不同的方法来分析和解码 VBS(每种方法都按复杂性和让你讨厌自己的潜力排序)。我们将回顾的第一种方法是使用 VBS 调试器来快速获胜。然后,我们将介绍一种替代方法,即无需任何特殊工具,只需编辑文件中的几行代码即可调试 VBS 文件本身。最后,我们将以(有争议的)最终徒劳无功的方式结束,即从头开始编写 Python 解码器。这种方法除了给我们带来满足感并让我们有机会更好地了解底层的混淆方案,以及学习一点 Python 之外,没有任何作用。我们开始吧!
DanaBot 概述和交付
OSINT 报告DanaBot 过去曾通过多种方式交付,包括破解游戏、破坏代码包和网络钓鱼电子邮件。在这种情况下,VBS 文件托管在一个虚假的“无人认领财产”网站上:www[.]moneyunclaimed[.]net。