Gootkit——在一些处所也被称为Xswkit ，是一款几乎完全用JavaScript编写的银行恶意软件。在这篇博客，我们将逆向该恶意软件，解密其webinject配置文件（该文件中包罗的更多代码指令指明其打击方针和如何进一步打击）。

在被传染的计算机上发明的Gootkit是一个相对较小的加载器，一个Windows可执行文件，在执行虚拟机检测后，将下载和恶意代码绑定的Node.js引擎。恶意软件的这部分是对照大，巨细几乎到达5MB。JavaScript的内部代码隐藏的很好，通过RC4算法加密。因此，开始分析此中一个加载器样本（MD5 b29089669c444cbdb62d89bf0e3c9ef8）。 

告成脱壳后，我们应该来到了地点4040C7入口点：

 

接下来我们发明是一个Aplib解压缩措施。注意查抄头部“AP32”DWORD，凭据little-endian挨次：

 

在这个地点处设置断点并dump解压的缓冲区的内容，我们发明另一个嵌入的微小的可执行文件，这个文件稍后将被注入到explorer.exe中。这个二进制文件包罗了一些有关VM检测的可疑的字符串：

 

这里发明一件有趣的事，它可以通过一个环境变量来控制。恶意软件作者必需为本身预留此成果便利本身测试，但我们可以从中获得很多对象：

 

我们在这里看到查抄的环境变量是”crackme”，接着计算校验和，如果它匹配到某一个值，将跳过的VM检测。校验和是已知CRC32算法的变种。破解它不需要很永劫间，“aHzkxc’是Gootkit接收的值。

 该恶意软件使用由C＆C处事器查抄的硬编码用户代办代理。此中，有效载荷的下载网址：

hxxps：//lovemeating.space：80 / rbody320（其目的尚不得而知）

hxxps：//lovemeating.space：80 / rpersist2 / 56080258（可能是长期性模块）

hxxps：//lovemeating.space：80 / rbody32（核心）

它给与80端口进行HTTPS连接通信。这些有效载荷通过API函数 RtlDecompressBuffer解压。下面我们将注意力集中在解压缩的DLL“rbody32”（MD5 d17f99eab2d8c6f3eb7b7f25b7631976），约莫5MB！在巨细上和上述的Node.js加载器差不久不多。我们可以不雅察看到这看起来像嵌入的JavaScript文件：

 

 

这些记录包罗偏移值和每个的脚本文件的巨细信息。不才表文件中可以找到嵌入脚本的完整列表。从他们的名字可以对照容易猜度每个文件是做什么的：

addressparser.js 
assert.js 
buffer.js 
certgen.js 
chardet.js 
child_process.js 
clienthttp.js 
client_proto_cmdterm.js 
client_proto_fs.js 
client_proto_ping.js 
client_proto_registration.js 
client_proto_socks.js 
client_proto_spyware.js 
cluster.js 
config_processor.js 
console.js 
constants.js 
crypto.js 
dgram.js 
dns.js 
domain.js 
encoding.js 
events.js 
FastBufferList.js 
freelist.js 
fs.js 
generate_function.js 
generate_object_property.js 
gootkit_crypt.js 
http.js 
https.js 
http_injection_stream.js 
imap_client.js 
inconvlite.js 
internalapi.js 
keep_alive_agent.js line_reader.js 
mailparser.js 
mail_spyware.js 
malware.js 
meta_fs.js 
mime.js 
mimelib.js 
module.js 
net.js 
node.js 
os.js 
packet.js 
path.js 
pop3_client.js 
protobuf_compile.js 
protobuf_encodings.js 
protobuf_schema.js 
protobuf_schema_parse.js 
protobuf_schema_stringify.js 
protobuf_schema_tokenize.js 
protocol_buffers.js 
punycode.js 
querystring.js 
readline.js 
repl.js 
saved_creds.js 
sax.js 
signed_varint.js 
smalloc.js 
spyware.js 
sqlite3.js 
starttls.js 
stream.js 
streams.js 
string_decoder.js 
suspend.js sys.js 
tar_stream.js 
timers.js 
tls.js 
tracing.js 
tty.js 
tunnel.js 
url.js 
utf7.js 
util.js 
utils.js 
uue.js 
varint.js 
vm.js 
vmx_detection.js 
windows.js 
xz.js 
zeusmask.js 
zlib.js 
_http_agent.js 
_http_client.js 
_http_common.js 
_http_incoming.js 
_http_outgoing.js 
_http_server.js 
_linklist.js 
_stream_duplex.js 
_stream_passthrough.js 
_stream_readable.js 
_stream_transform.js 
_stream_writable.js 
_tls_common.js 
_tls_legacy.js 
_tls_wrap.js

 

你可以从GitHub上下载这些文件。