WvEWjQ22.hta木馬反彈Shell樣本的示例分析

小編給大家分享一下WvEWjQ22.hta木馬反彈Shell樣本的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序制作、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了景洪免費(fèi)建站歡迎大家使用！

I 綜述

重保晚上接到客戶的電話，說檢測到疑似攻擊，請我進(jìn)行應(yīng)急處置溯源，無奈的我，只好從床上爬起來拿起筆記本。通過初步分析發(fā)現(xiàn)WvEWjQ22.hta執(zhí)行了一個powershell進(jìn)程,深入分析研判后發(fā)現(xiàn)流量經(jīng)過2次Base64編碼+1次Gzip編碼，逆向分析調(diào)試解碼出的ShellCode，為CS或MSF生成的TCP反彈Shell，最終溯源出攻擊IP且結(jié)束Powershell進(jìn)程和TCP反彈shell進(jìn)程。

II 攻擊手法

利用3次編碼的WvEWjQ22.ht木馬繞過態(tài)勢感知系統(tǒng)檢測預(yù)警 執(zhí)行powershell進(jìn)程反彈shell。

III 樣本分析

木馬通過powershell執(zhí)行命令

WvEWjQ22.hta腳本使用powershell執(zhí)行一段base64編碼的PS腳本

BASE64解碼

通過一段PS腳本對其進(jìn)行BASE64+Gzip解碼并將最終執(zhí)行的腳本寫到1.txt中

解碼出來的腳本主要就是申請內(nèi)存，BASE64解碼ShellCode加載執(zhí)行

將腳本中base64編碼的shellcode保存到文件out.bin

調(diào)試解碼出的ShellCode，ShellCode為CS或MSF生成的TCP反彈Shell。上線IP：112.83.107.148:65002

IV 處置

結(jié)束powshell進(jìn)程和TCP反彈Shell進(jìn)程。

以上是“WvEWjQ22.hta木馬反彈Shell樣本的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)站題目：WvEWjQ22.hta木馬反彈Shell樣本的示例分析
文章URL：http://bm7419.com/article40/psspho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)、標(biāo)簽優(yōu)化、外貿(mào)建站、響應(yīng)式網(wǎng)站、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)