Go语言恶意样本分析

最新推荐文章于 2024-04-24 08:13:46 发布
最新推荐文章于 2024-04-24 08:13:46 发布
阅读量1.1k 收藏
点赞数
分类专栏: 病毒分析 文章标签: 恶意样本分析 go语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxr__nc/article/details/122741099
版权

样本信息

样本MD56BC5F53D4082F12DD83ACA45BAE81E64
样本编译语言go语言

样本行为分析

通过对样本运行的动态行为进行分析,样本主要行为如下:

  1. 创建进程获取系统信息
  2. 系统信息上传C2
  3. 获取C2下发指令以及回传的文件
  4. 执行C2回传的文件

样本静态分析

分析go语言的样本,与一般C\C++编写的PE文件有很大不同,在分析go语言编写的样本的时候,反编译会识别大量函数。这其中有大部分的库函数,因此分析go语言的恶意样本需要先找到函数入口点。main_main,IDA这一点很强,IDA7.6版本已经支持go语言的识别。因此用IDA7.6版本反编译go语言样本也没有识别库函数的苦恼。

样本逻辑分析

样本主要逻辑如下:
在这里插入图片描述
样本在执行的时候会获取文件名,判断文件名中是否存在括号"()",如果存在继续执行之后的恶意逻辑。

获取系统信息

样本通过CMD创建相应进程获取进程信息:systeminfo、tasklist
在这里插入图片描述
创建WMI进程获取系统磁盘的一系列信息
在这里插入图片描述
获取本地计算机时间按格式输出
在这里插入图片描述

使用github开源工具获取屏幕截图

在这里插入图片描述
将获取的截图数据格式化处理
在这里插入图片描述
将以上获取到的所有数据进行拼接,为数据上传做准备
在这里插入图片描述
数据上传
在这里插入图片描述
通过获取C2回传的数据,执行后续恶意操作:
在这里插入图片描述
创建恶意文件
在这里插入图片描述
恶意文件路径获取
在这里插入图片描述
由于获取不到目标文件以及后续的C2指令,分析告一段落。
样本运行进程树:
在这里插入图片描述
样本网络连接创建目标文件:
在这里插入图片描述

IOC

样本MD56BC5F53D4082F12DD83ACA45BAE81E64
C2http://89.37.226.148/
download文件名w32srv.exe
Psy_Hacker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)
2401_84264583的博客
04-29 639
恶意软件样本行为分析实验目的2) 熟悉抓包工具 Wireshark 的使用3) VMware 的熟悉和使用4) 灰鸽子木马的行为分析实验步骤及内容第一阶段:熟悉的使用利用 Process Monitor 监视 WinRAR 的解压缩过程。利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。
GO恶意样本实例分析
zhangge3663的博客
01-15 752
最近在工作中遇到不少的go语言编写的恶意样本,也整理了在分析go恶意样本的一些基础知识,各位同学可以先看看这篇文章《GO恶意样本分析》,对go语言分析基础有一定了解。 在平常的工作中遇到的情况来看,go语言恶意样本可以分为如下的三个等级以及对应的等级的说明。 非常简单: 未去除符号以及未混淆的恶意软件。 一般简单: 去除符号的恶意软件。 困难:混淆的恶意软件。 我找了几个对应的样本,大家可以一起学习学习。 未去除符号以及未混淆的的恶意软件   WellMesss是疑似具有俄罗斯...
go语言分析资料
weixin_34110749的博客
01-04 104
https://www.anquanke.com/post/id/85694https://rednaga.io/2016/09/21/reversing_go_binaries_like_a_pro/?tdsourcetag=s_pcqq_aiomsghttps://github.com/haidragon/golang_loader_assist 转载于:https://blog.51cto....
聊聊Go恶意软件的现状和趋势
systemino的博客
07-08 894
概述 最近几个月,我对Go语言编写的恶意软件产生了浓厚的兴趣。Go,有时也被称为GoLang,由Google于2009年创建,近年来在恶意软件开发群体中越来越受欢迎。 虽然近年来讨论Go恶意软件系列的文章越来越多,但Go恶意软件在数量上是否真的呈现上升势头?当前普遍认为Go主要是由渗透测试人员和红队在使用,所以我很好奇哪种Go恶意软件家族将会最为流行。于是我开始收集尽可能多的Go恶意软件,并将...
go免杀制作
weixin_48776804的博客
07-17 932
go免杀
记一次Go语言的学习--shellcode加载器免杀
jjjjj34的博客
04-24 1838
在网上搜了很多关于Go语言的免杀,我也是刚学几天,就做个学习对于GO语言做免杀的记录。
go语言恶意代码检测系统-对接前端可视化与算法检测部分
08-16
上传恶意样本 用户可以将上传自己的收集到的恶意样本及其样本属性,网站会对该恶意样本进行保存 获取恶意样本检测结果 用户手动上传或使用oss方式上传待检测的恶意样本,系统检测样本后返回该样本属性 样本威胁分析...
kraken - Go语言编写的YARA跨平台扫描器.zip
07-18
Go语言,简称Golang,是Google开发的一种静态类型的、编译型的、并发型的、垃圾回收的、C/C++风格的编程语言。其设计目标是提供简单、高效的编程环境,尤其适合并发和网络编程。Go语言的特性如轻量级线程...
基于 GO 实现的恶意代码检测系统,对接前端可视化与算法检测部分
最新发布
05-07
本项目是一个基于GO语言实现的恶意代码检测系统,其核心目标是通过算法分析来识别潜在的恶意代码,并且集成了前端可视化界面,以便用户能够直观地查看和理解检测结果。这个系统对于那些想要深入学习技术,特别是对...
恶意软件分析与应对策略
# 1. 恶意软件概述 ## 1.1 什么是恶意软件 恶意软件(Malware)是指一类有意设计来对计算机系统进行破坏、入侵、扰乱或者窃取用户敏感信息的恶意程序。...因此,对恶意软件进行及时分析和应对至关
Go 恶意软件增多,分析两个新发现的零检出样本
ZL_1618的博客
08-18 81
由于 Go 良好的跨平台特性,在多个操作系统与架构上都能运行,所以最近使用 Go 语言编写的恶意软件越来越多,每周都会发现大量的新样本。在四月末,研究人员通过蜜罐发现了两个新的变种(和),发现时在VirusTotal 上无检出。Backdoorit样本检出Caligula样本检出Backdoorit 与 Caligula 都是为多处理器架构编译的、跨平台 Go 恶意软件程序。
【Golang源码分析】golang的启动原理
c-rain
01-07 1287
前言: 随着技术的发展,大多的PHPer都开始转型golang。这个也是golang因为go的一些特别深受大家喜爱。我们团队也在试水,在内部的一些小项目上做了试探。在此同时我作为试探的一员身先士卒。从中也琢磨到一些技巧希望能和大家一起学习共勉. 一.前期准备: go版本: go1.13.4 由于是做源码分析调试,我们必须找到适合自己的工具。咱们调试的话可以考虑几种工具 1)gdb lin...
golangsha1解码_如何阅读Golang的源码?
weixin_39965283的博客
12-21 168
Go 的源码在安装包的 src/ 目录下。怎么看它的源码呢?直接看吧!没人教的情况下,只能自己撸了。当然,这种内容一般也不会有人教。怎么撸?Go 源码中,应该可分为与语言息息相关的部分,和官方提供的标准库。与语言实现相关的肯定是最难的,不是那么容易理解。可以先主要看标准库,其他的可以先大概了解下,待准备充足,再开始艰难的任务。第二步,先把源码目录整体扫一遍,大概看看涉及了哪些模块,再挑自己喜欢的部...
PE文件详解(C制作PE格式解析器)
CharlesGodX的博客
03-27 5637
0x00:前言 PE文件可以说是在逆向的各个领域都有涉及,特别是病毒领域,如果你是一名病毒制造者,那你肯定是对PE文件有详细的了解,那么这里我就详细介绍一下PE文件,最后我们用C来写一个PE格式解析器。 0x01:PE格式 要了解PE文件,首先要知道PE格式,那么什么是PE格式呢,既然是一个格式,那肯定是我们都需要遵循的定理,下面这张图就是PE文件格式的图片(来自看雪),非常大一张图片,其实PE格...
golang读取文件总结
开心就好的专栏
01-23 4136
使用go语言读取文件和各种方式整理。 一次性加载到内存中 // * 整个文件读到内存,适用于文件较小的情况 func readAllIntoMemory(filename string) (content []byte, err error) { fp, err := os.Open(filename) // 获取文件指针 if err != nil { return nil, err ...
简单的go病毒分析
eat_food的博客
08-21 514
简单的go病毒分析
GO初探
qq_27623521的博客
10-27 290
有项目需要用到的go 先学习go 入门钥匙 简介:Go语言是谷歌2009发布的第二款开源编程语言,Go语言专门针对多处理器系统应用程序的编程进行了优化,使用Go编译的程序可以媲美C或C++代码的速度,而且更加安全、支持并行进程。 基本结构有: 命名 常量 变量 赋值 类型 包和文件 作用域 命名 规则的:一个一个名字必须以一个字母(Unicode字母)或下划线开头,后面可以跟任意数量的字母、数字或下划线。大写字母和小写字母是不同的 break default func i
3.基于Golang协程实现流量统计系统-快速构建一个示例网站
BlockChainBoy
06-03 2889
首先我们写这个系统之前,要先构建一个示例网站,因为我对前端也不太懂。所以就下载了一套电影网站做为示例站。首先我介绍一下为什么要建示例网站,因为我们这套流量分析系统是用来分析NGINX的日志数据的,NGINX的日志数据是用户网站访问后生成的,所以我们需要搭建一个网站,来产生一些用户行为数据。然后通过javascript快速上报到打点服务器,然后打点服务器再上报到nginx,nginx会生成用户行为日...
木马免杀实践-golang
网络安全。
08-09 2110
0x01 简介 这里以github上一个golang免杀项目为例,项目地址:https://github.com/yumusb/CS-Loader/tree/master/go%E7%89%88%E6%9C%AC,原项目使用方法如下,根据其要求生成cobaltstrike木马后,上传virustotal,免杀效果已经比较差了,且生成木马大小为5.9M,比较大。 0x02 解读原项目 原项目–python加密部分 此项目加密shellcode采用的方式是base64 -> RC4加密 -> bas
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值