溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

發(fā)布時間:2022-01-13 15:48:48 來源:億速云 閱讀:208 作者:小新 欄目:網(wǎng)絡(luò)安全

小編給大家分享一下WvEWjQ22.hta木馬反彈Shell樣本的示例分析,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

I 綜述

重保晚上接到客戶的電話,說檢測到疑似攻擊,請我進行應(yīng)急處置溯源,無奈的我,只好從床上爬起來拿起筆記本。通過初步分析發(fā)現(xiàn)WvEWjQ22.hta執(zhí)行了一個powershell進程,深入分析研判后發(fā)現(xiàn)流量經(jīng)過2次Base64編碼+1次Gzip編碼,逆向分析調(diào)試解碼出的ShellCode,為CS或MSF生成的TCP反彈Shell,最終溯源出攻擊IP且結(jié)束Powershell進程和TCP反彈shell進程。

II 攻擊手法

利用3次編碼的WvEWjQ22.ht木馬繞過態(tài)勢感知系統(tǒng)檢測預警 執(zhí)行powershell進程反彈shell。

III 樣本分析

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

木馬通過powershell執(zhí)行命令

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

WvEWjQ22.hta腳本使用powershell執(zhí)行一段base64編碼的PS腳本

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

BASE64解碼

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

通過一段PS腳本對其進行BASE64+Gzip解碼并將最終執(zhí)行的腳本寫到1.txt中

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

解碼出來的腳本主要就是申請內(nèi)存,BASE64解碼ShellCode加載執(zhí)行

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

將腳本中base64編碼的shellcode保存到文件out.bin

WvEWjQ22.hta木馬反彈Shell樣本的示例分析

調(diào)試解碼出的ShellCode,ShellCode為CS或MSF生成的TCP反彈Shell。上線IP:112.83.107.148:65002

IV 處置

結(jié)束powshell進程和TCP反彈Shell進程。

以上是“WvEWjQ22.hta木馬反彈Shell樣本的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學習更多知識,歡迎關(guān)注億速云行業(yè)資訊頻道!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI