Contoh analisis sampel shell lantunan semula WvEWjQ22.hta Trojan

Ringkasan Saya

Pelanggan menghubungi saya pada malam itu dan mengatakan bahawa serangan yang disyaki telah ditemui dan meminta saya menjalankan kebolehkesanan tindak balas kecemasan. Walaupun saya sedikit tidak berdaya, saya tetap bangun dan mengambil buku nota saya untuk menanganinya. Melalui analisis awal, didapati bahawa WvEWjQ22.hta melaksanakan proses powershell Selepas analisis dan penghakiman mendalam, didapati bahawa trafik telah dikodkan Base64 dua kali + Gzip dikodkan dengan analisis terbalik dan penyahkodan ialah a Cangkang lantunan TCP yang dijana oleh CS atau MSF, dan sumber itu akhirnya dikesan Cari IP serangan dan tamatkan proses Powershell dan proses cangkang lantunan TCP.

Kaedah Serangan II

Gunakan Trojan WvEWjQ22.ht yang dikodkan tiga kali untuk memintas pengesanan dan amaran sistem kesedaran situasional serta melaksanakan proses powershell untuk melantun semula shell.

III Analisis Contoh

Trojan melaksanakan arahan melalui powershell

Skrip WvEWjQ22.hta menggunakan powershell Laksanakan skrip PS berkod base64

Penyahkodan BASE64

Nyahkodkannya dengan BASE64+Gzip melalui skrip PS Dan tulis skrip akhir yang dilaksanakan ke dalam 1.txt

Skrip yang dinyahkod adalah terutamanya untuk memohon memori, BASE64 menyahkod ShellCode memuatkan dan pelaksanaan

IV Disposition

Tamatkan proses powshell dan proses shell rebound TCP.

Atas ialah kandungan terperinci Contoh analisis sampel shell lantunan semula WvEWjQ22.hta Trojan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!