代码查看软件_【预警】Sodinokibi勒索病毒曝新变种，竟通过混淆JavaScript代码传播...-CSDN博客

安全预警

近日，亚信安全截获利用混淆的JS代码传播的Sodinokibi勒索病毒变种文件，其通过垃圾邮件附件传播。由于附件是混淆的JS脚本文件，其可以轻松逃避杀毒软件的检测，一旦用户点击附件，计算机中的文件将会被加密。亚信安全将其命名为TROJ_FR.620727BA。

Sodinokibi勒索病毒首次出现在今年4月份，早期版本使用Web服务相关漏洞传播，后来发现该勒索病毒通过垃圾邮件附件传播，亚信安全曾经多次截获此类垃圾邮件，其附件是伪装的Word文档，实际上是PE格式的可执行文件，其附件文件名称通常为:關於你案件的文件.doc.exe，聯繫方式.doc.exe，來自最高法院的文件\錶殼材料.doc.exe，稅務局的文件\樣品填充.doc.exe等，这些带有诱惑性的文件名，极易误导用户点击。

攻击流程解析

Sodinokibi勒索病毒新变种详细分析

原始样本是一个混淆过的JS脚本，通过对数组内容的读取获取混淆后的具体代码，内容如下:

通过动态调试，获取到解混淆后正常的JS代码，该脚本主要是利用PowerShell进一步去除混淆:

通过以上代码，安全专家得知变量vhtsxspmssj是一个混淆的PowerShell脚本。去除混淆(将其中的感叹号去除)后它将会被保存到jurhtcbvj.tmp中:

去除混淆后，通过PowerShell执行Base64加密的数据:

安全专家将其中加密的数据进行Base64解密，如下图所示，其仍然是通过将数据Base64加密，然后利用PowerShell进行解密后执行，主要是执行install1函数:

安全专家对其中加密的数据进行解密，本次解密主要是利用PowerShell脚本来进行，将运行解密后的数据输出到文件中，以便安全专家进一步分析。安全专家修改原始的脚本，内容如下:

运行脚本后，安全专家发现本次加密数据其实的是一个PE文件，通过查看文件信息，此文件是一个.NET模块。安全专家将此命名为dump_1.dll文件:

dump_1.dll文件分析(.NET模块)

安全专家对此.NET文件进行逆向分析，主要是查找原始脚本中执行的install1()函数，该函数的主要功能是将主要数据Base64加密，然后使用NET中的相关解密函数解密后加载到内存中执行:

安全专家将base64加密的数据手动进行base64解密，发现它是一个PE文件，查看文件信息，是使用Borland Delphi编写的DLL文件，安全专家将此命名为dump_2.dll文件:

dump_2.dll文件分析

安全专家对相关的DLL(dump_2.dll)文件进行逆向分析，通过查看导入函数，安全专家发现了有对资源操作的API，可能是该文件的资源截取存在可疑数据:

安全专家通过查看dump_2.dll文件的资源数据，发现是一个被加密的数据，资源段名称为HELP，通过查看反汇编相关代码，该加密数据用7B异或，即可获取解密后的相关数据:

安全专家可以选择动态调试解密，在知道如何解密的情况下，也可以使用二进制工具手动进行异或解密。解密后，安全专家发现又是一个PE文件，安全专家命名为dump_3.dll,继续对此文件进行分析:

dump_3.dll文件分析

安全专家查看该文件的信息，发现其信息与dump_2.dll基本类似，查看反汇编代码，同样是使用了资源截取存放payload。安全专家将此payload命令为dump_4.dll文件:

它还会检查AhnLab相关服务和文件是否存在，AhnLab(安博士)是韩国的一家杀毒软件:

通过进一步查看其反汇编代码，加载payload的方式是使用Process Hollowing技术。如果找到AhnLab勒索软件的服务或者文件，它将会通过Process Hollowing将此payload注入到该安全产品autoup.exe进程中。如果没有安装AhnLab勒索软件，它将会通过Process Hollowing将此payload注入到当前进程(PowerShell进程实例):