总结
当晚客户打来电话,称发现疑似攻击情况,要求我进行应急处置溯源。虽然有些无奈,但我还是爬起来拿起笔记本准备处理。通过初步分析发现wvewjq22.hta执行了一个powershell进程,深入分析研判后发现流量经过2次base64编码+1次gzip编码,逆向分析调试解码出的shellcode,为cs或msf生成的tcp反弹shell,最终溯源出攻击ip且结束powershell进程和tcp反弹shell进程。
利用3次编码的WvEWjQ22.ht木马绕过态势感知系统检测预警 执行powershell进程反弹shell。
木马通过powershell执行命令
WvEWjQ22.hta脚本使用powershell执行一段base64编码的PS脚本
BASE64解码
通过一段PS脚本对其进行BASE64+Gzip解码并将最终执行的脚本写到1.txt中
解码出来的脚本主要就是申请内存,BASE64解码ShellCode加载执行
将脚本中base64编码的shellcode保存到文件out.bin
对由CS或MSF生成的TCP反弹Shell的ShellCode进行调试解码。上线IP:112.83.107.148:65002
结束powshell进程和TCP反弹Shell进程。
以上就是WvEWjQ22.hta木马反弹Shell样本的示例分析的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告![ThinkPHP5快速开发企业站点[全程实录]](https://img.php.cn/upload/course/000/000/068/6253d918a3ce7278.png)
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
下载豆包电脑版,提高工作效率
764
