Fileless Powershell Dropper(有趣的 Powershell 脚本)
2022-10-18 10:18:49 Author: Ots安全(查看原文) 阅读量:15 收藏

我发现了一个有趣的 Powershell 脚本,它会在受害者的计算机上投放恶意软件。被丢弃的恶意软件不是新的(虽然它有点旧),但丢弃器的 Virustotal 分数非常低。我在 VT 上的一条狩猎规则检测到了该脚本。它被称为“autopowershell.ps1”,分数仅为 3/61(SHA256:3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4)沙箱检测报告:https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection。

“Fileless”意味着恶意软件试图以最少的方式减少与文件系统的交互。但是,要实现持久化,它必须在磁盘上写一些东西。大多数时候,它是通过注册表项完成的。这就是这个示例发生的情况:

可疑密钥存储在“HKCU\Software\Classes\QDSbIMUygFKR”中。请注意,键名不是随机的,这使它们成为非常有趣的 IOC。

  • 在“MSIQ”中,我们找到了另一个将用于持久性的 Powershell 脚本。 

  • 在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了加密的有效载荷

  • 在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了解密payload的密钥

第二个 Powershell 脚本将提取另一个 Base64 编码的脚本,该脚本提供所有经典函数以从 PowerSploit执行 ReflectivePEInjection,沙箱检测报告:https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/。

注入的有效载荷从注册表中读取、解密和注入。这是一个 DLL 文件,VT 分数为 30/62 (SHA256:9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21)沙箱检测报告:https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection。没什么新意,2020年首次上传!

参考:

  • https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection

  • https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/

  • https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247495858&idx=3&sn=7686c5ed279f534fdac06cdc043ef234&chksm=9badb9f9acda30ef7975ad04dc8f86c2eb75bb8fc9ceaf710cdd83db17764801c7fed531f8a4#rd
如有侵权请联系:admin#unsafe.sh