紹

前不久，Cybaze-Yoroi ZLAB的安全研究人員發現了一個值得深入研究的可疑JavaScript文件：這個惡意JavaScript文件利用了多種技術來躲避所有AV產品的檢測，在著名的VirusTotal平臺上，總共58中反病毒解決方案沒有一個能夠檢測到這個JavaScript文件。因此，我們打算對其進行更加深入的分析，并弄清楚這個惡意軟件到底使用了怎樣的技術。

技術分析

這個惡意文件采用JavaScript開發，Windows腳本主機系統組件默認是支持該文件運行的。而且該文件所占空間要比常見腳本文件的要大很多，這個腳本大約有1MB左右，腳本內容乍看之下跟亂碼差不多。

腳本內容一眼看去倒是有個挺有趣的地方：整個腳本主體使用的是非ASCII碼字符集：

這些字符/字符串看起來似乎沒有任何邏輯可言，但是仔細分析之后，我們發現這是惡意軟件的開發人員所使用的第一種技術。首先，使用了ASCII和Unicode字符來混合組成長字符串，并用這種長字符來聲明變量。有些地方甚至還涉及到了西里爾字符：

ыNиpsфбm3nxsцвиеKEсыBLQBеnьVWC

而且所有的變量名都有一個特征，即可見的變量名都在“_“字符之后，該字符前面的內容我們是看不到的，因此我們推測攻擊者在聲明所有變量時使用了常見的前綴。我們可以看到如下所示的變量：

var=[…]_0x5e24

那么第一步就是對這些代碼進行反混淆處理，并使用其他的字符來替換掉這些變量前綴，增強代碼的可讀性。結果如下：

var A_0x5e24=[‘fromCharCode’,’function\x20H2B([string]$s){$H=@();for\x20($i=0;$i\x20-lt\x20$s.Length;$i+=2){$H+=[Byte]::Parse($s.Substring($i,2),[System.Globalization.NumberStyles]::HexNumber);};return\x20$H;};$_b=(get-itemproperty\x20-path\x20\x27HKCU:\x5cSOFTWARE\x5cMicrosoft\x5cRun\x27\x20-name\x20\x27Microsoft\x27).Microsoft;

在分析過程中，我們還發現了另一種混淆技術，這里攻擊者結合了ASCII碼字符和十六進制字符來處理腳本代碼。因為代碼中可以看到類似如下圖所示的十六進制字符：

0x27
0x20
0x5c

把這些十六進制值轉義并進行ASCII編碼之后，我們得到了它們所代表的實際意義：

0x27→ ‘
0x20→ empty space
0x5c→ \

經過反混淆處理之后，得到的腳本內容如下：

這里，每一個十六進制字符前面的反斜杠必須配合一個以ASCII編碼的十六進制值。現在，我們可以清楚地看到代碼以及JavaScript Dropper中隱藏的可執行代碼（部分）了：

上述代碼的第一行，用‘$’字符和_b變量替換了字符‘5’。手動執行整個操作后，我們就可以獲取到格式化的可執行文件了，也就是目標設備受感染后最終的攻擊Payload：

我們可以看到，前四個字符為“4D5A”，這在Windows環境下的可執行文件中有著重要意義。經過解碼后，Payload為了實現持久化感染，會寫入下列注冊表鍵：

HKCU\SOFTWARE\Microsoft\Run\Microsoft

此時，我們提取出來的經過解碼的可執行文件就可以被VirusTotal平臺上大多數AV解決方案檢測到了：

其中的代碼來自于著名的Remote Access木馬，這也是很多網絡犯罪分子經常會使用的一款木馬病毒，這個變種使用的命令控制服務器如下：

networklan[.]asuscomm[.]com

總結

通過對這個惡意JavaScript腳本進行分析后，我們也了解了目前惡意攻擊者的確可以輕松繞過反病毒技術的檢測，即使他們使用的是著名的RevengeRAT，在引入了高級混淆技術或其他方式之后他們仍可以“逍遙法外”。

另一個需要引起大家注意的就是，即使該變種被發現了多日并已將后續樣本提交到了VirusTotal，幾天之后也僅有兩個AV解決方案檢測到了這個惡意腳本文件，這是不是有點不太合適啊？

* 參考來源：yoroi，FB小編Alpha_h4ck編譯，轉載自FreeBuf.COM