Go语言恶意样本分析_Golang

样本信息

样本MD5	6BC5F53D4082F12DD83ACA45BAE81E64
样本编译语言	go语言

样本行为分析

通过对样本运行的动态行为进行分析，样本主要行为如下：

创建进程获取系统信息系统信息上传C2获取C2下发指令以及回传的文件执行C2回传的文件样本静态分析

分析go语言的样本，与一般C\C++编写的PE文件有很大不同，在分析go语言编写的样本的时候，反编译会识别大量函数。这其中有大部分的库函数，因此分析go语言的恶意样本需要先找到函数入口点。main_main，IDA这一点很强，IDA7.6版本已经支持go语言的识别。因此用IDA7.6版本反编译go语言样本也没有识别库函数的苦恼。

样本逻辑分析

样本主要逻辑如下：

样本在执行的时候会获取文件名，判断文件名中是否存在括号"()",如果存在继续执行之后的恶意逻辑。

获取系统信息

样本通过CMD创建相应进程获取进程信息：systeminfo、tasklist

创建WMI进程获取系统磁盘的一系列信息

获取本地计算机时间按格式输出

使用github开源工具获取屏幕截图

将获取的截图数据格式化处理

将以上获取到的所有数据进行拼接，为数据上传做准备

数据上传

通过获取C2回传的数据，执行后续恶意 *** 作：

创建恶意文件

恶意文件路径获取

由于获取不到目标文件以及后续的C2指令，分析告一段落。
样本运行进程树：

样本网络连接创建目标文件：