自分用にメモ。

ちょっと前に立てたハニポが好評らしく、検体がそこそこ集まっているなか、1つだけ難読化もどきがされているものがあったので調べてみた。

検体のハッシュ値
SHA256: a5a62669414b7e87eef6bf809bae9ee65e3970017e75939e1466cbaa15a9686b
MD5: 331bafbf48e1ece5134bc42f4a9bd2be

パッと見だとeval unpackの後に適当な文字列がならんでいたので、これは展開して実行するんだなと思いながら検索していると、どうもPerlの関数らしいということが分かった。
そこで、eval -> printにするだけというありきたりなやり方で表示させたら見事展開したコードが取得できた。

中身は、指定されたホストの6665に接続するircボットらしかった。 ネットワークスキャン、バックドア、DDoS機能も付いてるっぽい。

他のマルウェア、Mirai系とかは難読化されていないらしかったので目に付いた。 もっとも、ただデータをpackしていただけなので、難読化ってほどじゃなかったけど。

VirusTotalに投げてみたら、難読化状態ではなんと検知0だった。 難読化解除してから投げたら、検知数は26/57だった。 あんな単純な難読化のスクリプトでも検知できないのは少し驚いた、振る舞い検知みたいなことはしてないらしい。