Fileless Powershell Dropper(有趣的 Powershell 脚本)

我发现了一个有趣的 Powershell 脚本,它会在受害者的计算机上投放恶意软件。被丢弃的恶意软件不是新的(虽然它有点旧),但丢弃器的 Virustotal 分数非常低。我在 VT 上的一条狩猎规则检测到了该脚本。它被称为“autopowershell.ps1”,分数仅为 3/61(SHA256:3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4)沙箱检测报告:https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection。


“Fileless”意味着恶意软件试图以最少的方式减少与文件系统的交互。但是,要实现持久化,它必须在磁盘上写一些东西。大多数时候,它是通过注册表项完成的。这就是这个示例发生的情况:

Fileless Powershell Dropper(有趣的 Powershell 脚本)

可疑密钥存储在“HKCUSoftwareClassesQDSbIMUygFKR”中。请注意,键名不是随机的,这使它们成为非常有趣的 IOC。


  • 在“MSIQ”中,我们找到了另一个将用于持久性的 Powershell 脚本。 

  • 在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了加密的有效载荷

  • 在“{08CA0AB0-E83C-4BA2-B013-B6359F962B16}”中,我们找到了解密payload的密钥


第二个 Powershell 脚本将提取另一个 Base64 编码的脚本,该脚本提供所有经典函数以从 PowerSploit执行 ReflectivePEInjection,沙箱检测报告:https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/。


注入的有效载荷从注册表中读取、解密和注入。这是一个 DLL 文件,VT 分数为 30/62 (SHA256:9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21)沙箱检测报告:https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection。没什么新意,2020年首次上传!


参考:

  • https://www.virustotal.com/gui/file/3750576978bfd204c5ac42ee70fb5c21841899878bacc37151370d23e750f8c4/detection

  • https://powersploit.readthedocs.io/en/latest/CodeExecution/Invoke-ReflectivePEInjection/

  • https://www.virustotal.com/gui/file/9b3e2e56863fc5a85c5c9f16a82a55c5bc88f5ed049f2e8b21e4e8895e25ec21/detection


原文始发于微信公众号(Ots安全):Fileless Powershell Dropper(有趣的 Powershell 脚本)

版权声明:admin 发表于 2022年10月18日 上午10:19。
转载请注明:Fileless Powershell Dropper(有趣的 Powershell 脚本) | CTF导航

相关文章

暂无评论

暂无评论...