WvEWjQ22.hta木馬反彈Shell樣本的範例分析

I 綜述

當晚客戶打來電話，表示發現疑似攻擊狀況，要求我進行緊急處置溯源。雖然有些無奈，但我還是爬起來拿起筆記本準備處理。透過初步分析發現WvEWjQ22.hta執行了一個powershell進程,深入分析研判後發現流量經過2次Base64編碼1次Gzip編碼，逆向分析調試解碼出的ShellCode，為CS或MSF生成的TCP反彈Shell，最終溯源出攻擊IP且結束Powershell進程和TCP反彈shell進程。

II 攻擊手法

利用3次編碼的WvEWjQ22.ht木馬繞過態勢感知系統偵測預警 執行powershell進程反彈shell。

III 樣本分析

木馬透過powershell執行指令

WvEWjQ22.hta腳本使用powershell執行一段base64編碼的PS腳本

BASE64解碼

透過一段PS腳本對其進行BASE64 Gzip解碼並將最終執行的腳本寫到1.txt中

解碼出來的腳本主要是申請內存，BASE64解碼ShellCode載入執行

#將腳本中base64編碼的shellcode儲存到檔案out.bin

#對由CS或MSF產生的TCP反彈Shell的ShellCode進行偵錯解碼。上線IP：112.83.107.148:65002

#IV 處置

結束powshell進程和TCP反彈Shell進程。

以上是WvEWjQ22.hta木馬反彈Shell樣本的範例分析的詳細內容。更多資訊請關注PHP中文網其他相關文章！