I 綜述
當晚客戶打來電話,稱發現疑似攻擊情況,要求我進行應急處置溯源。雖然有些無奈,但我還是爬起來拿起筆記本準備處理。通過初步分析發現wvewjq22.hta執行了一個powershell進程,深入分析研判后發現流量經過2次base64編碼+1次gzip編碼,逆向分析調試解碼出的shellcode,為cs或msf生成的tcp反彈shell,最終溯源出攻擊ip且結束powershell進程和tcp反彈shell進程。
II 攻擊手法
利用3次編碼的WvEWjQ22.ht木馬繞過態勢感知系統檢測預警 執行powershell進程反彈shell。
III 樣本分析
木馬通過powershell執行命令
WvEWjQ22.hta腳本使用powershell執行一段base64編碼的PS腳本
BASE64解碼
通過一段PS腳本對其進行BASE64+Gzip解碼并將最終執行的腳本寫到1.txt中
解碼出來的腳本主要就是申請內存,BASE64解碼ShellCode加載執行
將腳本中base64編碼的shellcode保存到文件out.bin
對由CS或MSF生成的TCP反彈Shell的ShellCode進行調試解碼。上線IP:112.83.107.148:65002
IV 處置
結束powshell進程和TCP反彈Shell進程。
? 版權聲明
文章版權歸作者所有,未經允許請勿轉載。
THE END
