要挟行为者在损害体系时，一般需求考虑怎么进入方针网络才干防止被检测到，而传递歹意附件的网络垂钓邮件往往就充当了初始感染前言的人物。 此外，攻击者还需求一种办法，在安全监控产品的眼皮底下履行代码。最常见的一种代码履行技能便是运用解说脚本言语，能够在操作体系上运转而不需求额定的依靠联系。以Windows为例，遭到攻击者喜爱的言语包括PowerShell、VBScript、JScript、VBA，以及乱用cmd.exe来履行指令。 攻击者和防御者的联系就像猫和老鼠，在前进的道路上不断追逐。咱们常常看到歹意行为者为了添加侵略的成功率，花了许多心思在东西改善上，尤其是最开端损坏体系的下载器上。 2019年8月初，咱们注意到传达TrickBot的垂钓邮件举动中开端呈现了Ostap的身影，这是一种根据JavaScript的商业下载器。在曩昔，传达TrickBot的活动往往依靠于运用了混杂shell指令，或是PowerShell指令的下载器，再由VBA AutoOpen宏触发，然后下载并履行歹意payload。 在本文中，我将解说怎么对Ostap进行反混杂处理，并描述我编写的Python脚本（deobfuscate_ostap.py），该脚本能够主动对此JScript歹意软件进行反混杂处理，可在GitHub上下载。 TrickBot，也被称为The Trick，是一种模块化银行木马，被至少三个要挟团伙运作过，分别是TA505、Grim Spider和Wizard Spider。尽管根据javascript的下载器并不新鲜，但TrickBot最新的下载器以其巨细、虚拟机检测和反剖析办法而出名。曾有剖析人员做过检测，Ostap样本在两个不同的公共沙箱中的生成并不完好，也没有下载各自的TrickBot payload。此外，上传到VirusTotal的样本在初次上传时检测率仅有6/55（11％），这标明Ostap可有用避开大多数反病毒检测。

图1.Ostap样本的VirusTotal检测 Ostap——TrickBot的JScript下载器 下载器的意图是从一个或多个长途服务器上检索及运转次级payload，它们的功用往往比较简单，即便混杂后，也很少有超越几百行代码的。Ostap却彻底不符合这一规则，由于它非常大，包括了近35,000行经过美化的混杂代码。历史上的TrickBot活动标明，操作人员为了绕过检测，用的混杂层数往往比其他歹意软件要多。

图2.Ostap样本的行，字和字节数，有34,757行 宏剖析 下载器伪装在一个启用了宏的Microsoft Word 2007的文档里，文档包括下载器的两个组件：VBA宏和JScript（图3）。电子邮件订单买卖为主题，标明这些活动或许旨在针对企业而非个人。

图3.下载器的钓饵文档 下载器的JScript组件以白色文本的方式存储在文档正文中，然后导致单词和页数较高。

图4 .钓饵文档中的JScript VBA宏保存在名为“Sorry”的项中。翻开文档时，它首先将JScript复制到用户默许Word模板目录 (%AppData%MicrosoftTemplates)中名为2angola.dot和2angola.dotu的文件中。该进程由Document.Open事情触发。

图5.翻开文档时运转的带注释的VBA代码 宏的其余部分仅在文档封闭时运转，这是经过监督Document.Close事情来完成的（图6）。这是一种反沙箱办法，运用不会仿照用户活动的沙箱来阻挠行为剖析，例如封闭文档的动作。

图6.文档封闭时运转的带注释的VBA代码 假如文档已封闭，宏将2angola.dot重命名为2angola.Jse然后运转它，过程如下： 1、宏从Win32_Process WMI类调用Create办法，以2angola.Jse作为指令行参数运转新的Explorer.exe进程（图7）。[13] 2、当Explorer.exe进程已经在运转，需求创立一个的新的时，将运用/ factory {75DFF2B7-6936-4C06-A8BB-676A7B00B24B} -Embedding指令行参数创立（图8）。 CLSID对应于名为“CLSID_SeparateMultipleProcessExplorerHost”的ProgID。 3、Explorer运用Windows脚本宿主（WScript.exe）运转2angola.Jse，这是JScript编码文件（.JSE）的默许文件处理程序，如图9所示。2angola.dot的文件扩展名重命名为.Jse保证由WScript.exe翻开。这种默许的文件关联性，意味着宏能够经过直接引证WScript来躲避检测，WScript是一种一般在宏的上下文中用于歹意意图的程序。

图7.Sysmon事情显现了一个Explorer.exe进程，它在WMI Provider Host (WmiPrvSE.exe)发动后运转JScript文件

图8.Sysmon事情显现由参数 /factory,CLSID {75DFF2B7-6936-4C06-A8BB-676A7B00B24B} -Embedding创立的新Explorer.exe进程[1][2][3]黑客接单网