Maison > Opération et maintenance > Sécurité > Exemple d'analyse de l'échantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

Exemple d'analyse de l'échantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

王林
Libérer: 2023-05-23 11:28:24
avant
1208 Les gens l'ont consulté

I Résumé

Le client m'a appelé ce soir-là pour me dire qu'il avait découvert une attaque suspectée et m'a demandé d'effectuer la traçabilité des interventions d'urgence. Même si j'étais un peu impuissant, je me suis quand même levé et j'ai pris mon cahier pour m'en occuper. Grâce à une analyse préliminaire, il a été constaté que WvEWjQ22.hta exécutait un processus PowerShell. Après une analyse et un jugement approfondis, il a été constaté que le trafic avait été codé en Base64 deux fois + Gzip une fois. Le ShellCode décodé par analyse inverse et débogage était un. Shell de rebond TCP généré par CS ou MSF, et la source a finalement été tracée. Recherchez l'adresse IP de l'attaque et mettez fin au processus Powershell et au processus de shell de rebond TCP.

II Méthode d'attaque

Utilisez le cheval de Troie WvEWjQ22.ht encodé trois fois pour contourner la détection et l'avertissement du système de connaissance de la situation et exécuter le processus PowerShell pour faire rebondir le shell.

III Sample Analysis

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

Le cheval de Troie exécute des commandes via PowerShell

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

Le script WvEWjQ22.hta utilise PowerShell pour exécuter un script PS codé en base64

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

BASE64 décodage

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

via un PS script Il effectue le décodage BASE64 + Gzip et écrit le script final exécuté dans 1.txt

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

Le script décodé s'applique principalement à la mémoire, et le ShellCode de décodage BASE64 est chargé et exécuté

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

Enregistrez le shellcode encodé en base64 dans le script Allez dans le fichier out.bin

Exemple danalyse de léchantillon de shell de rebond du cheval de Troie WvEWjQ22.hta

pour déboguer et décoder le ShellCode du shell de rebond TCP généré par CS ou MSF. IP en ligne : 112.83.107.148 : 65002

Élimination IV

Terminez le processus Powshell et le processus Shell de rebond TCP.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Étiquettes associées:
source:yisu.com
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal