温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

WvEWjQ22.hta木马反弹Shell样本的示例分析

发布时间:2022-01-13 15:48:48 来源:亿速云 阅读:220 作者:小新 栏目:网络安全

小编给大家分享一下WvEWjQ22.hta木马反弹Shell样本的示例分析,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

I 综述

重保晚上接到客户的电话,说检测到疑似攻击,请我进行应急处置溯源,无奈的我,只好从床上爬起来拿起笔记本。通过初步分析发现WvEWjQ22.hta执行了一个powershell进程,深入分析研判后发现流量经过2次Base64编码+1次Gzip编码,逆向分析调试解码出的ShellCode,为CS或MSF生成的TCP反弹Shell,最终溯源出攻击IP且结束Powershell进程和TCP反弹shell进程。

II 攻击手法

利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警 执行powershell进程反弹shell。

III 样本分析

WvEWjQ22.hta木马反弹Shell样本的示例分析

木马通过powershell执行命令

WvEWjQ22.hta木马反弹Shell样本的示例分析

WvEWjQ22.hta脚本使用powershell执行一段base64编码的PS脚本

WvEWjQ22.hta木马反弹Shell样本的示例分析

BASE64解码

WvEWjQ22.hta木马反弹Shell样本的示例分析

通过一段PS脚本对其进行BASE64+Gzip解码并将最终执行的脚本写到1.txt中

WvEWjQ22.hta木马反弹Shell样本的示例分析

解码出来的脚本主要就是申请内存,BASE64解码ShellCode加载执行

WvEWjQ22.hta木马反弹Shell样本的示例分析

将脚本中base64编码的shellcode保存到文件out.bin

WvEWjQ22.hta木马反弹Shell样本的示例分析

调试解码出的ShellCode,ShellCode为CS或MSF生成的TCP反弹Shell。上线IP:112.83.107.148:65002

IV 处置

结束powshell进程和TCP反弹Shell进程。

以上是“WvEWjQ22.hta木马反弹Shell样本的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注亿速云行业资讯频道!

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI