WvEWjQ22.hta木马反弹Shell样本分析溯源
2021-03-05 16:40:38 Author: www.freebuf.com(查看原文) 阅读量:151 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

I 综述

重保时发现WvEWjQ22.hta执行了一个powershell进程,我们团队立即启动应急响应。经分析发现流量经过2次Base64编码+1次Gzip编码,逆向分析调试解码出的ShellCode,为CS或MSF生成的TCP反弹Shell,最终溯源出攻击IP且结束Powershell进程和TCP反弹shell进程。

II 攻击手法

利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警 执行powershell进程反弹shell。

III 样本分析

img

木马通过powershell执行命令

img

WvEWjQ22.hta脚本使用powershell执行一段base64编码的PS脚本

img

BASE64解码

img

通过一段PS脚本对其进行BASE64+Gzip解码并将最终执行的脚本写到1.txt中

img

解码出来的脚本主要就是申请内存,BASE64解码ShellCode加载执行

img

将脚本中base64编码的shellcode保存到文件out.bin

img

调试解码出的ShellCode,ShellCode为CS或MSF生成的TCP反弹Shell。上线IP:112.83.107.148:65002

IV 处置

结束powshell进程和TCP反弹Shell进程。


文章来源: https://www.freebuf.com/articles/network/265230.html
如有侵权请联系:admin#unsafe.sh