X-Bogus vmp分析

逆向病毒分析 2年前 (2023) admin

284 0 0

X-Bogus vmp分析

本文为看雪论坛优秀文章

看雪论坛作者ID：wbwnnx

一

第一步

1、简单看一下变量被压缩了，用v佬的jstools插件还原一下变量混淆，后续容易分析一点。看一下接口的堆栈。

2、先下W断点，发现断下的时候参数已经拼接上去了，vmp肯定在循环解释运行，直接先打断点步过执行。

3、边执行边观察右侧的变量区域，有一个变量O一直在变，这个大概率就是整个流程存储的寄存器，看到DFSz就是这个bogus的前缀。

4、直接下日志，打印O，保存到本地分析，这只是外层日志。

5、如果看详细的内容还得在vmp流程里再下一个，在这个加密流程里步入发现会进到主流程里，在这个下一个日志点方便分析，观察O的变化就完了。（最好加上一个详情接口的xhr断点，不然这个日志会很多）流程找对了，下手点就是把这个流程先切开，分析。

6、这是已经出现了DFSz的第一条日志。

V M198048:1 [null,[null,{},null,null,”u0002ÿ-%.$ú{^1ì÷FË¢u000f÷°Q”,”s2″,”=”,{“s0″:”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=”,”s1″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”,”s2″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”},”Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”,”DFSz”,196397,4],null,”u0002ÿ-%.$ú{^1ì÷FË¢u000f÷°Q”,[3],[null,{},null,null,”u0002ÿ-%.$ú{^1ì÷FË¢u000f÷°Q”,”s2″,”=”,{“s0″:”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=”,”s1″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”,”s2″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”},”Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”,”DFSz”,196397,4],4,3]

7、这是上一条日志，我们先不管bogus怎么生成的，先往上分析，找到最开始的点再往下走。

[null,[null,{},null,null,”yso¨ÉHðru000e1fã6(MÉXìu001fu0000N úg´f&o¿Öu000fÔº¤FWåà$u001b3AÊàÿÙku001e<Ì93u001au000föu0000u0006a²9Êu0002ç?8u0001;/·u0010mr-i’j|Bu000f+ÜÁ»u0003ëôu001e{dÇu000fF^u0004¥;Jä·q[“,”s0″,”=”,{“s0″:”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=”,”s1″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25+WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”,”s2″:”Dkdpgh4ZKsQB80/Mfvw36XI1R25-WUAlEi7NLboqYTOPuzmFjJnryx9HVGcaStCe=”},”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=”,”eXNvqMlI8HJgDjFm4zYoTclY7B8ATqD6Z7RmJm+ev9YPl9S6pEZX5Z3gJBszQWCayuD/2WsegTzMOTMagA/2AAZhsjnKAuc/OAE7L7eYiBBtDS1pJ2p8QoIPK9zBuwPr9B57ZMetjIkPRl4Ei6U7Spfkt3F”,12022107,117],”eXNvqMlI8HJgDjFm4zYoTclY7B8ATqD6Z7RmJm+ev9YPl9S6pEZX5Z3gJBszQWCayuD/2WsegTzMOTMagA/2AAZhsjnKAuc/OAE7L7eYiBBtDS1pJ2p8QoIPK9zBuwPr9B57ZMetjIkPRl4Ei6U7Spfkt3F”,null,”ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=”,[27],63,117]

8、看到其中有一个值是s0，后面的map里面就有s0，就是一个base64的编码表，顺序也是正常的，这个流程块一看就是在做base64，直接略过不trace了，直接在控制台btoa一下那个字节。
X-Bogus vmp分析

9、现在就看O[1][4]这个字节怎么来的了，看log的流程出现了__reactEvents$t3n7f43w7o那行下一条就出现了这个字节，所以说加密流程就在这两条中间，但这周我运行日志这条就没了，这个不重要，我们直接在P.apply下条件断点，让O[2] == “execCommand” ，然后把条件断点换成普通断点，步过一下，看到详细日志有很多输出，大致看一下这就是base64那一段往上翻一下看一下这个字节的来源。

10、搜索一下第一次出现的位置，看一下这个分支数是136 0 ，那就断上一个，上一个是208 0，但是下条件断点的时候要带上O里面的一些数据，反正没出现过的最好，因为vmp的流程循环光断分支数没什么用。

11、去把那个json解一下，O[4]数组是[‘x00x01x0c’, ‘Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36’],
所以断点条件
E == 208 && P == 0 && O[4][1] == ‘Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36’,

再把别的断点都取消重新执行到这，然后单步调试走到了P.apply。

12、然后看一下p步进看一下，很明显的rc4，a是key，b是data，到这上面的流程就是ua的rc4转的base64。

直接破案，但这个a上周我调试的时候发现跟这周不一样，他是会变的，所以根据刚才的日志在往上找一下a怎么来的。

找key的流程和上面是一样的就不过多叙述了，也是找x00x01x0c第一次生成的地方，然后往上推，最后发现O[4] 是[1,12] 进到了一个函数里，最后出来的结果就是key。在找这两个数对应的是ubcode和envcode，看一下ubcode居然是鼠标轨迹进行运算出来的，很离谱唉，这样看来这玩意大概率不是很重要，先不管了看看这个key后续有没有用上，先给固定住吧。