恶意代码使用JavaScript混淆规避反病毒程序-安全客

摘要

该文讲述了攻击者如何使用JS混淆的方法来使一个知名远控RevengeRAT的变种躲避杀毒软件检测的。

1. 介绍

几天前，Cybaze-Yoroi ZLAB研究团队发现了一个可疑的JavaScript文件，并决定进一步关注这个可疑文件。该JavaScript文件利用了好几种技术去躲避所有反病毒程序的检测，VT上58个反病毒引擎没有一个将此文件检测出来（注：此结果为20190301的检测结果，截止到20190311，已经有5家可以检测出来了，译者在VT上搜索时显示是57家引擎）。因此，我们决定剖析并调查一下这个恶意软件到底使用了哪种技术实现了这种结果。

图1:20190311VT检测结果

2. 技术分析

这个文件是使用JavaScript语言编写的，可以使用Windows Script Host系统组件在本地运行该文件，该文件的大小比普通的脚本文件大了很多，大约有1M的随机文字。

表1：JS文件信息

Hash（Sha256）	99b0b24dcfb29291163b66c60355b6e1454c6a3d5dfbc2cd7b86b1ca548761eb
Thread	Generic
Description	JS/Dropper
Ssdeep	6144:+FquQGm+pYEaRFquQGnFquQGHFquQGtFquQG1FquQGrFquQGoFquQGsFquQGRFqa:+y+yTr5RPkYFV21Ge3bN2u8AVQuK6qzH

首先来看一下这个文件显示的第一个有趣的特征：脚本的主体使用了非ASCII字符集。

图2：javascript文件结构

这些字符看起来没有任何明显的逻辑，但是，仔细观察就会发现恶意软件作者使用的第一种技巧。他使用长字符串声明所有变量，这些长字符串混合了ASCII和UNICODE字符，甚至包括西里尔字母表中的一些字符。

ыNиpsфбm3nxsцвиеKEсыBLQBеnьVWC

所有变量明显可见的差异就只有变量在”_“之后的那一部分了。因此，我们可以知道恶意软件作者给所有变量的声明使用了一个共同的前缀。从图2可以看出来，变量的最后一部分都是使用下面的方式来声明的。

var = […]_0x5e24 var =[...]_0x59ad等

所以，解混淆的第一步就是使用一个易读的字符替换这些前缀。替换之后结果如下：

图3：第一层解混淆

在分析中发现的其他的混淆技巧就是上面脚本中ascii和16进制字符的混合。使用的16进制字符如下所示

0x27 0x20 0x5c

解混淆的第二部就是使用这些16进制字符代表的符号替换他们(文件中是x20 x27 x5c，因此替换的是这三个)。

0x27--->' 0x20--->空格 0x5c--->

替换之后，结果如下

图4：第二层解混淆

每个16进制字符之前的反斜线是必要的，JS文件用它来将十六进制字符和ASCII码结合起来。现在我们能够看到清楚的代码和隐藏在javascript dropper中的最初的可执行部分。JS文件中包含的PE文件是以16进制的形式存在的，从图4中可以看到，这些16进制字符中存在‘$’，这是不被允许的。

图5：可执行文件的第一部分

上图中代码的第一行的意思是使用‘5’去替换PE文件中的‘$’。（PE文件头前面是4D5A，代码中是4D$A）,执行完替换操作后，就可以得到一个PE文件了，该PE文件就是释放在受害机器上的最终payload。（读者若是想要复制字符串将其直接存储为PE文件，可以使用sublime 正则表达式匹配来替换PE文件中的$，这样就不会把PE文件前面的JS语句中的$也替换掉了）