针对VBS远控木马的技术分析

我们团队最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。

木马基本信息

MD5:0ad2a50ac1a1a98ce3db134e795e2974

原始文件局部一览:

根据脚本本身,拿python写了一个简单的解密片段得到明文vbs恶意文件,或者更简单的方法就是把executeGlobal直接写到另一个文件里保存下来。

木马执行

VBS脚本启动的时候被Wscript.exe分析执行,即Wscripts是VBS脚本的解释器。

木马协议特征:

该木马传输主要是同过http协议传输,同时以字符串“<|>”作为信息分割,通过WMI查询本地计算机信息以及安全信息。

该后门已知功能包括:

本地监听

本地监听到上线数据包。

上线数据信息是放在user-Agent里面

上线后接受远程服务器的指令:

利用python写个简易的脚本,模拟服务端,远程执行cmd命令,

得到的效果如下(虚拟机中显示):

可以看出除了传统PE木马外,木马作者配合其他形式脚本,制作出来的木马能起到免杀效果,未来可能会出现其它解释性语言编写木马也说不定。

python解密code片段