我发现了一个有趣的 Powershell 脚本,它会在受害者的计算机上投放恶意软件。被丢弃的恶意软件不是新的(虽然它有点旧),但丢弃器的 Virustotal 分数非常低。我在 VT 上的一条狩猎规则检测到了该脚本。它被称为“autopowershell.ps1”,分数仅为 3/61(SHA256:3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4)沙箱检测报告:https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection。
“Fileless”意味着恶意软件试图以最少的方式减少与文件系统的交互。但是,要实现持久化,它必须在磁盘上写一些东西。大多数时候,它是通过注册表项完成的。这就是这个示例发生的情况:
可疑密钥存储在“HKCU\Software\Classes\QDSbIMUygFKR”中。请注意,键名不是随机的,这使它们成为非常有趣的 IOC。
在“MSIQ”中,我们找到了另一个将用于持久性的 Powershell 脚本。
在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了加密的有效载荷
在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了解密payload的密钥
第二个 Powershell 脚本将提取另一个 Base64 编码的脚本,该脚本提供所有经典函数以从 PowerSploit执行 ReflectivePEInjection,沙箱检测报告:https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/。
注入的有效载荷从注册表中读取、解密和注入。这是一个 DLL 文件,VT 分数为 30/62 (SHA256:9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21)沙箱检测报告:https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection。没什么新意,2020年首次上传!
参考:
https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection
https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/
https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection