简单的go病毒分析

简单的go病毒分析

前言

1、go二进制文件中pclntab结构中的函数名信息，并没有被去掉，而且可以通过辅助脚本再反汇编工具里将其恢复。

2、go的函数调用约定跟c++的有些不同，前9个参数分别放入寄存器rax,rbx,rcx,rdi,rsi,r8,r9,r10,r11,其他参数从右往左入栈。主调函数平衡堆栈，但是只有当主调函数执行完才会去平衡堆栈，而不是被调函数执行完就立即平衡。

3、字符串实际是个结构体类型，字符串结构体有两个成员，分别是字符串地址和长度。在传递结构体时，每个成员都会当成一个变量传递。例如要传个字符串，rax是字符串地址，ebx就是字符串长度。

起始

某同学收到一封邮件，里面附带伪装成docx文档的病毒。点击后会打开一个docx文档。

分析

ida打开可以看到函数名已经给还原了。

函数主体分析

1、从主函数开始看，开始有一大片代码获取机器的非环回IP。

2、获取主机名，拼接字符串，调用screen函数截屏。

os_name获取主机名，runtime_concatstring3 是字符串拼接。rbx,rcx 是字符串"null",rdi,rsi是_,r8r9是主机名，拼接起来是null_DESKTOP-4DPJEDE。实际上rbx是放的本地IP地址，由于一开始断网分析的，所以rbx为null。此处拼接得到文件名null_DESKTOP-4DPJEDE.png。

3、调用main_uploadRequest，返回值rax被存入局部变量var_C0中，后面放入到rbx传入net_http__Client__do，由于该函数参数需要一个Request指针，所以main_uploadRequest返回的是一个Reuqest指针。

4、接下来又打开了文件，写入内容，是一个docx文档。

5、新建 os_exec_Command对象，main_main_dwrap_1里是执行命令的操作。执行打开文档的命令。

内存可以看到结构体有两个成员是有值的，根据查到的结构体，第一个成员是执行路径字符串，路径长度为0x1b，第二个成员是执行命令的参数构成的数组，这的数组长度为3，实际参数为：cmd /c 文档绝对路径。

main_screen

main_screen里面用第三方库进行截图，然后调用main_save，应该是用来保存截图的

此处字符串拼接获得图片的绝对路径。

main_save

main_save 里面主要是获取临时文件目录，拼接文件名，调用main_save_dwrap_3。main_save_dwrap_3里面是写入文件，关闭文件句柄。

main_uploadRequest

os_OpenFile打开的是截图，main_uploadRequest_dwrap_2里面看到关掉句柄，应该还有写入缓冲区的操作

接下来调用net_http_NewRequestWithContext，函数原型显示会返回Request指针，动态调试看下参数是啥。

POST请求 .php，截图传出去。

汇总

1、获取主机IP
2、截屏，IP+“_”+主机名+“.png”，组成截图文件名放入机器的临时文件目录下。
3、post请求上传截图到恶意网站。
4、在临时文件目录下新建文档写入内容，并且执行命令打开文档。