Deobfuscating JavaScript Malware

0

Recientemente estuve revisando la actividad de mi red y encontré un PCAP que está directamente relacionado con un Dropper de Troya. Echando un vistazo rápido a la secuencia TCP de los paquetes, encontré algo de Contenido JavaScript malicioso. El único problema es ... No tengo idea de cómo desenfocarlo.

Esto es lo que muestra mi TPC Stream

GET /sugg/suggestajaj.jsp?key=qin&type=web&pr=sohu HTTP/1.1
DNT: 1
Host: w.sugg.sogou.com
Accept: application/javascript, */*;q=0.8
Cookie: CXID=5248838DA4CABE5D9A294184931BF24E; SUID=D0B686402141900A54AE07DE000AB3F1; SUV=1431693802951096; LSTMV=292%2C445; LCLKINT=24499; IPLOC=US
Referer: http://www.sohu.com/
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept-Language: en-US
Connection: Keep-Alive

HTTP/1.1 200 OK
Server: nginx
Date: Wed, 06 Jul 2016 16:39:39 GMT
Content-Type: application/x-javascript;charset=GBK
Content-Length: 695
Connection: keep-alive
Expires: Wed, 06 Jul 2016 16:39:39 GMT
Cache-Control: max-age=0

sugCls.handleContent("%5Bqin%5D%3B%3B%26%3B%3B%5B%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%3B%3B0%2C+%E7%A7%A6%E6%97%B6%E6%98%8E%E6%9C%88%E4%B9%8B%E5%90%9B%E4%B8%B4%E5%A4%A9%E4%B8%8B%3B%3B0%2C+%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%E7%94%B5%E8%A7%86%E5%89%A7%3B%3B0%2C+%E6%83%85%E4%BE%A3%E5%A4%B4%E5%83%8F%3B%3B0%2C+%E7%A7%A6%E6%97%B6%E6%98%8E%E6%9C%88%3B%3B0%2C+%E4%BA%B2%E7%88%B1%E7%9A%84%E7%BF%BB%E8%AF%91%E5%AE%98%E5%89%A7%E6%83%85%E4%BB%8B%E7%BB%8D%3B%3B0%2C+%E9%9D%92%E4%BA%91%E5%BF%97%3B%3B0%2C+%E9%9D%92%E9%9D%92%E8%8D%89%3B%3B0%2C+%E6%83%85%E8%B0%9C%E7%9D%A1%E7%BE%8E%E4%BA%BA%3B%3B0%2C+%E6%83%85%E4%BE%A3%E7%BD%91%E5%90%8D%3B%3B0%5D%3B%3B%26%3B%3B%5B%5D");

Esto parece estar relacionado con un secuestrador web Sogou / Sohu basado en mi investigación.

¡Cualquier ayuda para tratar de desenfocar esto o al menos señalarme la dirección correcta es muy apreciada!

EDIT

Así que hice un trabajo y noté que este JavaScript está configurado para el conjunto de caracteres GBK o chino. Intenté hacer un deobfuscate GBK y lo traduje en Google. Este es el siguiente resultado

sugCls.handleContent ( "[qin] ;; & ;; [Dear translator;; 0, Qin Shiming month Dominating;; 0, dear translator drama;; 0, 0;; couple picture, qinshiming 0;; dear translator Synopsis;; 0, Aspiration;; 0, 0;; green grass, feeling the mystery of Sleeping Beauty;; 0, couple screen name;; 0];; &;; [] ") ;

Esto no tiene ningún sentido ...

    
pregunta J.Halon 06.07.2016 - 21:11
fuente

1 respuesta

1

El código del método sugCls.handleContent comienza aquí en la línea 1263: enlace

Puedes ver que hace algunos cortes y dados interesantes para extraer partes de la cadena que se pasa. Para desenfocarse, uno tendría que seguir cada paso manualmente, ejecutar el comando en el contexto deseado y enganchar la salida (por ejemplo, a una consola), o extraer los bits relevantes del método handleContent y escribir un método equivalente.

Desafortunadamente, el propósito de la ofuscación es asegurarse de que el código no tenga sentido para un intérprete humano. Por naturaleza, la ofuscación es un proceso muy difícil, y hay cientos de técnicas y herramientas que se podrían aplicar (a menudo sin ningún resultado).

    
respondido por el Nstr10 06.07.2016 - 22:28
fuente

Lea otras preguntas en las etiquetas